Google imposterà, di default, l’autenticazione a due fattori su tutti gli account dei suoi utenti. Per usare le parole di Mark Risher, N.1 del product management for identity and user security dell’azienda, le password non solo non sono un metodo sicuro per proteggersi dai malintenzionati, ma sono anche “la più grande minaccia alla vostra sicurezza”.
La 2FA introduce uno step aggiuntivo per accedere ad un account o un servizio. Non basta conoscere la password, bisogna anche inserire un secondo codice generato casualmente in tempo reale. Ormai la maggior parte degli utenti ha familiarità con questo concetto. Banalmente perché è richiesto dalla maggior parte delle banche. Tuttavia, la stragrande maggioranza degli utenti non usano l’l’autenticazione a due fattori per i loro diversi account, anche quando si tratta di servizi estremamente delicati: come la loro email o i loro profili social.
Come ci insegnano diversi episodi di cronaca, anche molto recenti, purtroppo l’l’autenticazione a due fattori non è necessariamente una difesa inespugnabile da parte degli hacker. Specie se si basa sulla comunicazione di un codice via SMS. Negli ultimi anni è esploso il fenomeno del SIM-Swapping / SIM Hijacking, una tecnica di attacco che, sfruttando le falle di sicurezza dei principali operatori mobile e l’ingegneria sociale, è in grado di clonare la SIM della vittima, ottenendo pieno controllo di ogni suo account, a partire dal conto corrente.
Gli esperti consigliano sistemi di l’autenticazione a due fattori hardware, basati non sugli SMS, quindi, ma su device progettati ad hoc per questo scopo – come la Titan Security Key di Google – o di cui ci possiamo fidare, come il nostro smartphone personale, che difficilmente può essere compromesso (o rubato) dagli hacker. Google offre la possibilità di usare il proprio smartphone per autorizzare gli accessi a Gmail e gli altri servizi.
Fino ad oggi l’l’autenticazione a due fattori era offerta da Google come uno strumento opzionale. L’azienda ora, progressivamente, abiliterà la misura di sicurezza su tutti gli account dei suoi utenti, che avranno comunque la possibilità – a loro rischio e pericolo – di disabilitarla in qualsiasi momento.
