Google ha introdotto una nuova opzione che rafforza la sicurezza dell’autenticazione a due fattori disponibile per gli account Google: è ora possibile utilizzare il token di sicurezza integrato nel telefono Android.
I token di sicurezza, quando vengono utilizzati nell’ambito della verifica in due passaggi, offrono una protezione più efficace contro gli hacker che accedono all’account mediante password o codici di verifica sottratti. In pochi minuti, è ora possibile configurare il token di sicurezza integrato nel proprio telefono Android compatibile per poter accedere in sicurezza da un computer vicino.
Ma partiamo da principio. Sono diffusi gli attacchi di tipo phishing, che si verificano quando un utente malintenzionato tenta di indurti a cambiare le tue credenziali online – a Google risulta che sono la causa più comune di violazioni della sicurezza. Prevenire gli attacchi di phishing può essere una sfida importante per gli utenti personali e aziendali. Per quanto concerne gli account Google, la società tenta di bloccare automaticamente la stragrande maggioranza dei tentativi di accesso maliziosi (anche se un utente malintenzionato ha il nome utente o password della vittima) ma un ulteriore livello di protezione è consigliato, può sempre essere utile. Interviene quindi la verifica in due passaggi (o 2SV), che rende più difficile per gli aggressori accedere ad un account perchè viene aggiunto un ulteriore passaggio alla procedura di accesso, come i codici univoci via SMS o le notifiche push. Mentre qualsiasi forma di 2SV migliora la sicurezza di un account, tuttavia, gli aggressori sofisticati potrebbero essere in grado di aggirarli proponendo alla vittima una pagina di accesso fasulla per rubare le credenziali. In un post sul blog aziendale, Arnar Birgisson, Software Engineer & Christiaan Brand, Product Manager di Google, ha detto che la società considera le chiavi di sicurezza basate su standard FIDO, come la Titan Security Key di Google, il metodo più resistente al phishing di 2SV attualmente disponibile sul mercato. Queste chiavi di sicurezza fisica proteggono l’account dal phishing richiedendo all’utente di accedere fisicamente alla propria chiave durante tentativi di accesso sospetti o non riconosciuti. Queste chiavi pero’ bisogna portarsele appresso, o almeno cosi’ si è dovuto fare fino ad oggi. E’ infatti ora disponibile una nuova opzione, disponibile direttamente sullo smartphone: a partire da oggi in versione beta, il telefono può essere la chiave di sicurezza personale, è sufficiente avere un dispositivo Android aggiornato alla versione 7.0 o successiva.
Secondo Google, l’utilizzo del token di sicurezza integrato nel telefono Android è piu’ semplice perchè non richiede di dover portare con sé chiavi di sicurezza aggiuntive. Si puo’ utilizzare per proteggere il proprio account personale Google, così come gli account Google Cloud al lavoro. Google lo consiglia anche a persone del Programma di protezione avanzata, come giornalisti, attivisti, dirigenti d’azienda e team di campagne politiche che sono maggiormente a rischio di attacchi mirati online.
standard
Android: come attivare il token di sicurezza integrato nel telefono
Requisiti.
Per eseguire l’accesso da un computer utilizzando il token di sicurezza integrato nel telefono Android devi avere:
– un telefono Android con Android 7.0 o versioni successive.
– Un computer con: Bluetooth, la versione più recente di un browser compatibile come Chrome e la versione più recente di un sistema operativo compatibile come Chrome OS, Mac OS o Windows
Passaggio 1: aggiungi il token di sicurezza al tuo Account Google:
Attiva la verifica in due passaggi e aggiungi un metodo di verifica, ad esempio i messaggi di Google. Se utilizzi già la verifica in due passaggi, puoi procedere. Sul telefono Android, vai all’indirizzo myaccount.google.com/security. Nella sezione "Accesso a Google", seleziona Verifica in due passaggi (potresti dover eseguire l’accesso). Scorri verso il basso fino a "Configura un secondo passaggio alternativo". Seleziona Aggiungi token di sicurezza e poi Il tuo telefono Android e poi Attiva.
Passaggio 2: utilizza il token di sicurezza integrato nel tuo telefono Android:
Sul computer, assicurati che il Bluetooth sia attivo nelle impostazioni o nelle preferenze. Sul computer, accedi al tuo Account Google con il tuo nome utente e la tua password. Controlla se sul tuo telefono Android è presente una notifica. Sul telefono Android, tocca due volte la notifica "Stai cercando di accedere?". Segui le istruzioni per confermare che sei tu a eseguire l’accesso.
In caso di problemi, da sapere:
Affinché il token di sicurezza integrato nel telefono Android funzioni, deve essere vicino al dispositivo da cui stai cercando di accedere. Provare quindi a posizionare il telefono Android e il dispositivo da cui si sta cercando di accedere uno di fianco all’altro.
Per utilizzare il token di sicurezza integrato nel telefono Android bisogna attivare il bluetooth nelle impostazioni: del telefono Android e del dispositivo da cui si vuole accedere. Affinché il Bluetooth funzioni correttamente, deve essere attiva la Geolocalizzazione sul telefono Android (dopo aver eseguito l’accesso è possibile disattivare la Geolocalizzazione).
Per utilizzare il token di sicurezza integrato nel proprio telefono Android, assicurasi che: il telefono Android in uso soddisfi i requisiti e che il dispositivo dal quale si vuole eseguire l’accesso soddisfi i requisiti.
Google consiglia di registrare una chiave di sicurezza di backup nel proprio account e di conservarla in un luogo sicuro, in modo da poter accedere al proprio account in caso di smarrimento del telefono. È possibile ottenere una chiave di sicurezza da un certo numero di fornitori, inclusa la Titan Security Key.