Sicurezza 05 Ott
In occasione del Safer Internet Day che si è tenuto ieri, Google ha voluto ribadire l'importanza di conoscere bene tutti gli strumenti che sono a nostra disposizione per proteggere le informazioni personali. Uno di questi è senza dubbio l'autenticazione in due fattori, che riduce in maniera considerevole le possibilità che un account venga rubato semplicemente ottenendo le credenziali di accesso e Google ha voluto enfatizzare particolarmente proprio questo aspetto.
Durante il 2021, infatti, la casa di Mountain View ha spinto fortemente sull'autenticazione in due fattori - Google la chiama 2SV, two step validation, ma è la stessa cosa - e l'ha abilitata di default su milioni di account; il risultato? Secondo gli ultimi dati condivisi dall'azienda, si parla di un crollo del 50% del numero di account compromessi e rubati all'interno del gruppo di utenti esaminato. In particolare, l'azienda ha attivato la 2SV su oltre 150 milioni di account Google e in particolare ha coinvolto 2 milioni di creator su YouTube che ancora non utilizzavano questo sistema di protezione.
2FA: POCHI LA USANO, ANCOR MENO LA CONOSCONO
Insomma, il sistema si è rivelato particolarmente efficace, ma a Mountain View erano già certi di ciò ancor prima di forzarne l'attivazione. Il problema principale, secondo Google, riguarda la scarsa adozione di questi layer di sicurezza aggiuntivi, che spesso non sono noti agli utenti o non vengono implementati in quanto potrebbero sembrare scomodi. La decisione di forzare la 2SV è arrivata dopo che una ricerca del 2018 aveva mostrato come oltre il 90% degli utenti Gmail fosse sprovvista di un sistema di autenticazione in due fattori, un dato allarmante che ha portato Google alla sua decisione finale.
Questo non sembra essere solo un problema di Google, ma di tutti i colossi del web in generale. Twitter, ad esempio, ha introdotto la 2FA come funzione opzionale dal 2013, ma nel 2020 solo il 2,3% degli account l'aveva attivata, mentre la percentuale sale al 4% per quanto riguarda il numero di utenti Facebook che nel 2021 erano protetti da questo sistema.
Commenti
Uso da molti anni esclusivamente le yubikey e salvo il costo molto elevato all'inizio mai avuto problemi. Però in caso di problemi o la Key si rovini avete sempre i codici di backup per recuperare l'account e cambiare la Key di autenticazione. Attivare il sistema 2FA su app è la scelta migliore se si vuole risparmiare.
Forse non ho capito la domanda...
Io uso Authy (ma il discorso vale anche per le omologhe app); quando ho cambiato telefono, ho reinstallato l'app, inserito le credenziali e mi son ritrovato "tutto" (i vari account con il 2FA) ... tra l'altro, Authy è multi-device e multi-piattaforma.
Sull'account Google, non ho registrato numero di telefono (NO SMS, quindi) nè altro... solo il 2FA (coi stampati in pdf i codici di recupero che tengo "altrove" per ogni evenienza).
Se usi una YubiKey, non ti serve nemmeno Authy (o omologa app) e puoi toglierlo... anche se CONSIGLIO VIVAMENTE, come dicevo sopra, di registrare ALMENO DUE Yubikey per account onde evitare, nel caso fosse singola, che lo smarrimento o il non funzionamento ti tenga fuori dall'accesso.
Vari tutorial su YT possono essere d'aiuto.
Ora mi sorge una domanda, ma se resetti il dispositivo in cui hai l'app authenticator e devi rifare l'accesso come funziona? Con SMS bastava avere la SIM inserita e Google vedeva arrivare il messaggio concedendoti l'accesso
Grazie, quindi in pratica le due yubikey le usi solo per i portali che le supportano (es. Google, Microsoft, ecc.)?
yubicokey è un fattore FISICO...
Ha senso per youtuber e persone con un account "di valore" da proteggere...
Io, per motivi che non sto a spiegare, ce l'ho sul mio account personale (per esattezza: ho DUE yubikey perchè, nel malaugurato caso tu ne avessi solo una e la perdessi o si "rompesse", sei fuori dal tuo account SENZA ALTERNATIVE... una ce l'ho nel portachiavi, l'altra in cassaforte a casa... potenzialmente puoi anche averne una terza e cosi via)
Trovi tutti i tutorial che vuoi su YT... quello di cui tu parli non è la YubiKey, ma l'app "simil-authy" che ha effettivamente delle limitazioni (anche se mi risultava avessero risolto, ma non sono sicuro... io non uso quella)
Al giorno d'oggi ha senso prendere una Yubikey? Nel senso, si può usare su molti siti e su un password manager?
Leggevo che ha delle limitazioni sulle password che può memorizzare (quando usata come password manager) perché non accetta i caratteri accentati.
Invece sono proprio padroni di imporlo senza "fino a un certo punto". Poi puoi essere in di accordo ma è giusto che loro lo facciano. La misura è priva di senso per te... Ma come vedi lo stanno facendo un po' tutti a poco a poco, un motivo ci sarà, o credi di saperne di più degli esperti di sicurezza? Per loro complicare le cose non è piacevole, più semplici sono i servizi più gente li utilizza, ma evidentemente serve.
La chiavetta hardware sì, ma ovviamente si usa solo in contesti aziendali (e purtroppo, per quanto vedo io, nemmeno lì).
Se usi come second factor la notifica o l'app authenticator non vincoli al numero di telefono, ma al dispositivo.
Puoi anche avere più di un metodo di 2FA attivo.
Poi basta portarsi nel portafogli la stampa dei codici e anche se ti si rompe il telefono accedi tranquillamente.
In sostanza se uno fa le cose per bene è difficile venire bloccati fuori dall'account.
Sicuramente un piccolo rischio c'è, ma è niente rispetto a quello di takeover dell'account se non hai 2FA attiva.
Avevi ragione tu, stavo sottovalutando la stupiditá umana come mai non dovrei fare.
Speriamo almeno sia solo un Troll
Oh p*rca mad**na, ma i no-passwordari esistono davvero?
Ma svegliati lo zio
Dovrebbero vietare il 2FA su SMS e concederlo esclusivamente su APP (Authy o altro authenticator che sia) e allora si avranno % anche maggiori...
Poi, lo step successivo, sarà FIDO con una YUBIKEY (e lì arriviamo al 99.9%) ...
NO, sono padroni di imporre ma fino ad un certo punto, questa mossa non l'ho tollerata, il servizio per me è essenziale quindi è ovvio che mi attengo alle loro condizioni ma comunque non sono d'accordo, altri servizi a ruota faranno lo stesso per quanto riguarda questa misura prima o poi, vincolare il mio account al numero di telefono via sms è deleterio ed ingiusto, in quanto se sussiste un problema com la mia sim o il mio dispositivo io non posso accedere a gmail ovunque mi trovo, inutile che difendete la cosa, è una misura di sicurezza completamente priva di senso per me che non possono obbligare io vorrei solo email e password.
Mi era venuto il dubbio, poi ho pensato a quanti amici/parenti sento lamentare perché non possono più usare password semplici o il loro nome visto che i siti/app lo vietano e chiede per giunta devono usare maiuscola/minuscola/caratteri speciali ecc... Oppure perché prima entravano nell'homebanking con utente e password e ora devono per forza usare un otp via app...
Credo fosse un commento satirico sul tema va**inale.
(O almeno lo spero LOL)
Se gli utenti non sono in grado di fare scelte consapevoli e gestire la propria sicurezza credo sia giusto che chi fornisce i servizi imponga metodi di protezione per quello che offre.
E comunque sei liberissimo di non usare un servizio, non ti obbliga nessuno. Lo vuoi usare? Stai alle loro condizioni. Non ti piacciono? Ci rinunci e trovi altro.
Li detesto, io sono contro la 2FA non possono obbligare se io non la voglio, e invece l'hanno messa obbligatoria, uno non è manco più padrone di scegliere che protezione vuole.
I rimanenti 50% sono probabilmente phishing, dove convincono l'utente ad autorizzare la richiesta, là non c'è F2A che tenga...
Mi sarei aspettato un livello di protezione maggiore del "50%".