Un ingegnere di Google ha rivelato che oltre il 90% degli account Gmail attivi non utilizza l’autenticazione a due fattori (2FA), nonostante siano già passati quasi sette anni da quando Google ha introdotto l’autenticazione a due fattori per gli account Gmail.
Stando a quanto riportato dal sito The Register, nel corso di una presentazione alla conferenza Enigma 2018 sulla sicurezza di Usenix in California, l’ingegnere software Grzegorz Milka di Google ha rivelato che, al momento, meno del 10% degli account Google attivi utilizza l’autenticazione in due passaggi per tenere i profili al sicuro. Inoltre, risulta che solo il 12% degli americani ha un gestore di password per proteggere i propri account, secondo uno studio di Pew del 2016.
In risposta alla richiesta di spiegare perché Google non si decide a rendere obbligatoria la verifica a due fattori per tutti gli account, Milka ha risposto al The Register che il motivo è "l’usabilità", spiegando che ci sarebbero troppe persone non interessate ad usare una forma di sicurezza aggiuntiva.
Per chi non conosce la funzionalità, la verifica in due passaggi (conosciuta anche con il nome di autenticazione a due fattori) aggiunge un ulteriore livello di sicurezza all’account per cui viene attivata in quanto l’accesso viene completato fornendo un elemento noto (la password) in combinazione ad un altro elemento temporaneo come puo’ essere un codice univoco inviato al telefono o una notifica inviata sul telefono che deve essere confermata ogni volta.
Google offre l’autenticazione a due fattori tramite un codice che invia nel momento in cui si cerca di accedere all’account al telefono tramite SMS oppure con chiamata vocale, app per dispositivi mobili, notifica sui dispositivi Android piu’ recenti o tramite un token di sicurezza inserito nella porta USB del computer.
Grazie alla autenticazione in due passaggi, quindi, anche se un malintenzionato ha in possesso la username e la password di un account non puo’ accedervi perchè gli manca l’elemento aggiuntivo (se poi il malintenzionato è riuscito anche ad entrare in possesso dello smartphone della sua vittima allora è un altro discorso).
Google ha cercato di semplificare il puo’ possibile il processo di attivazione dell’autenticazione a due fattori, ma forse pochi utenti sono interessati o pochi non la ritengono necessaria. Inoltre, secondo quanto riferito dal The Register, oltre il 10% di coloro che cercano di utilizzare la verifica in due passaggi hanno avuto problemi nell’inserimento del codice di accesso inviato via SMS da Google.
A chi ha un account Google è fortemente consigliato attivare l’autenticazione a due fattori, è davvero semplice da usare: quando attiva, nel momento in cui si vuole entrare nel proprio account Google da un qualsiasi dispositivo dopo aver inserito la tradizionale combinazione username/password Google invia sul telefono, a seconda di come l’2FA è stata impostata, un codice via SMS o tramite chiamata vocale da inserire sul dispositivo da cui si sta cercando di accedere oppure invia una notifica sul telefono in cui basta solo premere SI per confermare ed entrare. E’ piu’ facile a farsi che spiegarlo. Per l’attivazione si puo’ iniziare da QUI.