La verifica in due passaggi, come e perché abilitarla
Dopo quanto successo a Mat Honan, il suggerimento di molti per difendersi da attacchi di quel tipo è stato quello di consigliare l’attivazione della verifica in due passaggi. La verifica in due passaggi è un’opzione che offre Google per autenticarsi al suo sito, che se abilitata affianca alla classica password un codice — da inserire quando si effettua il login — che viene recapitato ogni volta tramite SMS. Per autenticarsi vengono richieste dunque due cose:
- Qualcosa che si conosce: la propria password
- Qualcosa che non si conosce, generato in automatico: un PIN di verifica, della durata di pochi minuti
Volendo, per evitare l’SMS, si può installare sul proprio iPhone Google Authenticator, un’applicazione che genera questi codici a scadenza. È inoltre consigliabile conservare nel proprio portafoglio dei codici di backup, ovvero dieci PIN che possono tornare utili nelle occasioni in cui l’iPhone non abbia possibilità di collegarsi alla rete.
Ovviamente non è il caso che ci tocchi inserire un PIN anche quando accediamo alla mail tramite il nostro computer: almeno in questa situazione la doppia autenticazione può essere disabilitata, per un periodo di 30 giorni o anche più. Siccome la doppia autenticazione avviene tramite web, il problema della sicurezza per i client di posta viene risolto generando una password diversa per ciascuna di essi (che ovviamente non serve ricordare, ma va trattata come fosse un codice di autorizzazione da inserire una volta sola e mai più).
Google Authenticator è aperto, questo ha fatto sì che anche altre aziende lo implementassero nei loro servizi. Per esempio, io lo uso anche con WordPress[1. Altri servizi supportati: DreamHost, Amazon Web Services]. È un vero peccato che Apple non sia così attenta alla sicurezza con iCloud, ed è anche certo che iCloud dovrebbe offrire una sicurezza ulteriore rispetto a quella data da una banale password.
Un altro servizio che mi piacerebbe offrisse la doppia autenticazione, anche visti i suoi recenti problemi con la gestione dei dati degli utenti, è Dropbox. Fortunatamente, sembra ci stiano lavorando.