Google Authenticator è uno dei modi migliori per abbandonare l’autenticazione a due fattori tramite SMS e proteggere adeguatamente i tuoi account.
In generale, le app di autenticazione sono migliori dal punto di vista della sicurezza rispetto all’utilizzo dei messaggi SMS. E tra le più popolari c’è Google Authenticator.
L’autenticazione a due fattori
L’autenticazione a due fattori è un ottimo modo per proteggere gli account online, poiché va ben oltre il nome utente e la password standard. Se qualche malintenzionato conosce o riesce a elaborare la tua password, 2FA può interrompere qualsiasi ulteriore accesso al tuo account, visto che viene richiesta un’ulteriore conferma tramite il sistema scelto dal legittimo proprietario dell’account.
Le app di autenticazione sono impostate per produrre ripetutamente un nuovo codice dopo che è trascorso un certo periodo di tempo, ad esempio 30 secondi. Questi codici non sono casuali, in quanto vengono generati da un seed noto al servizio, oltre che seguendo regole prestabilite e immutabili. Il servizio online con cui stai effettuando l’autenticazione saprà qual era il codice corretto generato per ultimo, e quindi può confermare o rifiutare qualunque codice tu legga e digiti nella schermata di accesso del servizio.
L’utilizzo di un’app per 2FA è anche un po’ più sicuro rispetto all’utilizzo di una chiave fisica per la generazione del codice, poiché devi anche autenticarti con il tuo iPhone per accedere all’app. Anche l’ecosistema di Apple può funzionare in modo simile, con gli altri dispositivi di un utente che richiedono una conferma e generano codici che un utente può inserire manualmente nel dispositivo su cui sta effettuando l’accesso.
Il problema degli SMS
Sebbene l’autenticazione a due fattori sia sempre utile, l’implementazione tramite SMS è più debole delle alternative.
Utilizzando un SMS, anziché un codice generato su un’app o un dongle fisico, quel codice viene inviato allo smartphone come messaggio di testo. Nella maggior parte dei casi è un sistema sicuro, ma il problema è la natura stessa degli SMS.
I passcode SMS monouso vengono inviati come testo in chiaro sul sistema cellulare della tua rete, quindi sono leggibili apertamente e non crittografati. L’altro problema è che il sistema si basa sul messaggio inviato alla scheda SIM del tuo smartphone. Poiché i gestori possono essere indotti con l’inganno da un utente malintenzionato a scambiare le SIM su un sistema di account, è possibile che un numero di telefono funzioni interamente con un’altra carta SIM, magari già nelle mani dell’attaccante. Sono situazioni al limite, ma possibili.
In tali casi, un codice 2FA legittimo basato su SMS potrebbe essere inviato attraverso la rete del gestore, ma essere ricevuto dall’aggressore. Se l’aggressore conosce anche le credenziali del tuo account, ad esempio a causa di una violazione dei dati di un servizio importante, potrebbe potenzialmente accedere al tuo account e assumerne il controllo.
Poiché il sistema SMS stesso è l’anello debole, spostare 2FA su un’app sul tuo smartphone è una mossa consigliata.
Google Authenticator
Google Authenticator è un’app di autenticazione molto popolare, per diversi motivi. Per cominciare, è semplice da usare, il che è fondamentale quando si cerca di incoraggiare più persone a proteggere i propri account. Inoltre, è un sistema gestito da un’azienda come Google, che in questo campo (gestione dati degli utenti) lavora da anni e senza problemi di sicurezza.
E poi c’è la possibilità di utilizzare più dispositivi. È possibile configurare Google Authenticator su più dispositivi e fare in modo che i codici funzionino su tutti allo stesso modo. Il servizio è anche multipiattaforma, poiché funziona su dispositivi iPhone, iPad e Android.
Tieni presente che non hai bisogno nemmeno di un account Google per questo servizio. Anche se ovviamente puoi usarlo con il sistema di Google – ed è consigliabile- puoi comunque usarlo con altri servizi di terze parti senza collegare il tuo account Google all’autenticatore.
Dato che il sistema si basa sull’inserimento di una chiave di configurazione o sulla scansione di un codice QR, si consiglia vivamente di configurare l’autenticazione a due fattori su un dispositivo diverso da quello su cui si sta configurando Google Authenticator.
Come usare Google Authenticator su iPhone e iPad
Ecco i passaggi da seguire:
- Scarica Google Authenticator dall’App Store sul tuo dispositivo. L’app è gratuita.
- Accedi a qualsiasi servizio per cui desideri abilitare 2FA e prova a configurarlo. Quella di Google Authenticator potrebbe essere un’opzione nelle impostazioni dell’account in una sezione denominata “sicurezza”, ma questo aspetto varia tra i vari servizi.
- Quando richiesto, scegli di utilizzare un’app di autenticazione. Controlla che Google Authenticator sia presente nell’elenco e selezionalo.
- Una volta mostrato un codice QR o una chiave di autenticazione, apri Google Authenticator sul tuo iPhone o iPad.
- Se questa è la tua prima aggiunta all’app, ti verrà chiesto come desideri aggiungere direttamente il codice. Altrimenti, seleziona il simbolo più in basso a destra dello schermo.
- Se ti viene presentato un codice QR nel sito o nell’app per cui stai configurando 2FA, seleziona Scansiona un codice QR, quindi usa la fotocamera del tuo dispositivo per scansionare il codice.
- Se viene mostrata una chiave, inserisci il nome dell’account (di solito l’indirizzo e-mail) e la chiave fornita sullo schermo.
- Ti verrà chiesto di confermare se il sistema di autenticazione ha funzionato. Inserisci il codice a sei cifre che appare sullo schermo del tuo dispositivo nell’app o nel servizio con cui stai impostando 2FA come conferma.
- Una volta configurato, ti verrà chiesto di utilizzare l’app di autenticazione per generare un codice per accedere ai servizi, ogni volta che accedi.
Ora è tutto molto semplice, poiché ciò che devi fare è aprire Google Authenticator, cercare il servizio e il nome dell’account configurato, quindi leggere il codice a sei cifre associato. Poiché il codice cambia periodicamente, potresti voler attendere fino a quando il timer scade e viene visualizzato un nuovo codice, per massimizzare il tempo di inserimento del codice.
Se stai inserendo il codice in un’app sullo stesso dispositivo, tocca il codice per copiarlo negli appunti, che puoi quindi incollare nella casella di testo dell’app per l’inserimento.
Per eliminare un account dalla lista di Google Authenticator:
- Apri l’app e tocca i tre puntini in alto a destra.
- Tocca Modifica.
- Tocca l’icona della matita accanto all’account pertinente.
- Tocca il cestino.
- Nella casella di conferma, tocca Rimuovi account.
Ricorda che la rimozione di un account dall’app Google Authenticator non influisce sullo stato di 2FA sull’account stesso. Se desideri rimuovere 2FA dall’account, fallo prima di rimuoverlo dall’elenco di Google Authenticator.