La 2FA e Google Authenticator: le dieci cose da sapere

AutenticazioneSicurezza

Google Authenticator è un’app che fa da token portatile per gestire con immediatezza le procedure di autenticazione a più passaggi, per una maggiore sicurezza

È sempre vero che molti utenti scelgono password non sicure per timore di non ricordarsele o semplicemente per pigrizia, ma la minaccia che si sta facendo sempre più concreta è che, sicure o meno, le nostre password rischiamo di trovarle in vendita sul web perché qualche nostro provider si è fatto violare la rete da criminali informatici. È per questo che sta prendendo sempre più piede l‘autenticazione a due fattori, anche per servizi gratuiti e pubblici come Gmail, e un modo molto comodo per implementarla è l’uso di Google Authenticator.

Cos’è la 2FA?
L’autenticazione a due fattori (2FA o two-factor authentication) è un sistema di identificazione dell’utente che richiede, oltre alla password, un secondo “fattore”, tipicamente un codice che si può usare solo una volta o che scade dopo un certo tempo. Deve ovviamente essere fornita anche una username.

Ma non è una cosa vecchia?
Come approccio sì e infatti molte aziende la adottano da tempo per le risorse interne. Anche i servizi di home banking usano varie forme di 2FA. La novità sta soprattutto nel fatto che ora è supportata da molti servizi anche consumer ed è molto più semplice usarla di quanto non fosse in passato.

È lo stesso sistema che prevede la comunicazione di codici via SMS?
In molte implementazioni sì. Solo che alcune nuove indicazioni di enti autorevoli come il National Institute of Standards and Technology (NIST) statunitense spingono per eliminare la trasmissione di codici via SMS perché non sarebbe abbastanza sicura. Ecco perché assumono più importanza i token software come Google Authenticator.

Google la chiama Two-Step Verification, ma è in pratica la 2FA
Google la chiama Two-Step Verification, ma è in pratica la 2FA

Cos’è un token?
Token è un termine generico che sta a indicare qualsiasi oggetto che genera codici di sicurezza, in pratica password aggiuntive di durata limitata. Alcune aziende e banche hanno adottato “chiavette” con un display che mostra tali codici, oggi è altrettanto comodo usare un’app per smartphone.

Google Authenticator è un token?
In pratica sì. Materialmente è un’app da scaricare su uno smartphone, al limite anche un tablet. Si associa al servizio che vogliamo proteggere con la 2FA – se questo lo prevede – e da quel momento in poi genera regolarmente codici “a scadenza” per identificarsi al servizio stesso.

Quindi come funziona la 2FA, nella pratica?
Ci si collega al servizio protetto, ad esempio il nostro account Google, e si digitano come al solito username e password. A questo punto appare una nuova schermata che chiede il codice aggiuntivo: lanciamo Google Authenticator, leggiamo il codice (un numero a sei cifre) associato a quel servizio e lo digitiamo prima che scada. Il gioco è fatto.

Quando scadono i codici?
Ogni mezzo minuto circa. Quando mancano pochi secondi allo scadere della loro validità, l’app li mostra in rosso per avvisarci che tanto vale aspettare la prossima generazione di codici. Se infatti ne digitiamo uno troppo lentamente può capitare che questo scada proprio mentre ci stiamo autenticando e allora la nostra identificazione non andrebbe a buon fine.

Una schermata del Google Authenticator, con vari codici one-time
Una schermata del Google Authenticator, con vari codici one-time

Google Authenticator è diffuso?
Sì. Molti siti permettono di usare la 2FA con Google Authenticator come generatore di codici. Tra gli altri Facebook, Microsoft per gli account collegati a Office 365 od Outlook, PayPal, Amazon, Dropbox, WordPress ed Evernote. Altri – come Twitter o Apple per gli Apple ID – prevedono la 2FA ma non l’Authenticator. Altri ancora usano app-token proprie.

Ma così tutti quelli che usano l’app hanno gli stessi codici?
No, altrimenti il sistema non avrebbe nessuna sicurezza in più rispetto a username e password. Quando si associa un’app-token a un servizio, di solito si deve inquadrare con l’app un codice a barre bidimensionale che appare su una pagina web durante la procedura. In questo modo i server di autenticazione del servizio stesso e l’app si scambiano una chiave che è unica e resta segreta per tutti, noi compresi. Questa chiave viene usata come “seme” per generare i codici, insieme al valore numerico dell’orologio di sistema per farli scadere.

E se perdo lo smartphone?
È il problema/vantaggio di tutti i sistemi di 2FA: se si perde il token addio identificazione. Cosa fare in casi come questo dipende dal singolo servizio a cui abbiamo associato l’app-token: alcuni prevedono la generazione di codici di emergenza (ma vanno creati prima di avere problemi, come misura preventiva) e ovviamente altre misure di accesso autorizzato. Se si sa che si cambierà smartphone basta associare quello nuovo al servizio prima di disabilitare quello vecchio. Alcuni utenti conservano la schermata del codice a barre 2D per rifare il processo di associazione su un altro device.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore