Google Authenticator è disponibile per iOS e iPadOS, oltre che per Android.
Oltre a rendere Twitter più sicuro, ecco come abbandonare le autenticazioni a due fattori basate su SMS e proteggere adeguatamente la tua vita online, utilizzando Google Authenticator sul tuo iPhone.
L’autenticazione a due fattori (2FA) è entrata nelle notizie a causa di un cambiamento al Twitter merlato. In base a una modifica della politica di febbraio, Twitter sta costringendo gli utenti gratuiti che non sono disposti a pagare l’abbonamento Twitter Blue ad allontanarsi dal sistema 2FA basato su SMS, a favore dell’utilizzo di app di autenticazione.
Nonostante il clamore al riguardo, le app di autenticazione sono migliori dal punto di vista della sicurezza rispetto all’utilizzo dei messaggi SMS. Questo è ciò che dovresti sapere su 2FA e su come installarlo e utilizzarlo su una delle app di autenticazione più popolari, Google Authenticator.
Cos’è l’autenticazione a due fattori?
L’autenticazione a due fattori è un ottimo modo per proteggere gli account online, in quanto va ben oltre il nome utente standard e parola d’ordine. Se un utente malintenzionato online conosce o può elaborare la tua password, 2FA può interrompere qualsiasi ulteriore accesso ad essa.
Il principio della 2FA è che si basa sulla conferma di ciò che”sai”e di ciò che”hai”. Pensa a come utilizzare una porta di sicurezza in cui devi inserire un codice in una tastiera (“sapere”) e una chiave fisica in una serratura (“avere”) per ottenere l’accesso.
Mentre la password per l’account viene classificata come parte”know”,”have”consiste in una qualche forma di token verificabile. Questo potrebbe assumere la forma di un oggetto fisico, come una YubiKey, ma più comunemente si riferisce a un’app di autenticazione mobile o a un portachiavi di autenticazione.
Google Authenticator è un’app che fornisce codici 2FA sul tuo iPhone.
Sia l’app che il telecomando sono impostati per produrre ripetutamente un nuovo codice dopo che è trascorso un certo periodo di tempo, ad esempio 30 secondi. Questi codici non sono casuali, in quanto vengono generati da un seme noto al servizio, oltre che seguendo regole prestabilite e immutabili.
In effetti, il servizio online con cui ti stai autenticando saprà qual era l’ultimo codice corretto generato dall’autenticatore e quindi può confermare o rifiutare qualunque codice tu legga e digiti nella schermata di accesso del servizio.
L’utilizzo di un’app per 2FA è anche un po’più sicuro rispetto all’utilizzo di un telecomando per la generazione del codice, poiché devi comunque autenticarti con il tuo iPhone per accedere all’app in primo luogo.
Esiste anche un modulo più semplice in cui un sito Web potrebbe invitare l’utente a confermare in un’app complementare che ha appena effettuato l’accesso. Anche questo funziona, ma è più raro ed esiste davvero solo per alcuni servizi principali, come come app di Facebook e Google.
Anche l’ecosistema di Apple può funzionare in modo simile, con gli altri dispositivi Apple di un utente che richiedono una conferma e offrono all’utente codici da inserire manualmente nel dispositivo su cui sta effettuando l’accesso.
Qual è il problema con la 2FA basata su testo?
Sebbene l’autenticazione a due fattori sia di per sé una buona idea, l’implementazione di un modulo lascia il sistema debole.
Utilizzare SMS o 2FA basato su testo significa che, invece di utilizzare un codice generato su un’app o un dongle fisico, quel codice viene invece inviato al tuo smartphone come messaggio di testo.
Al valore nominale, sembra abbastanza OK, e nella maggior parte dei casi lo è. Il problema è la natura stessa degli SMS.
I passcode SMS monouso vengono inviati come testo in chiaro sul sistema cellulare della tua rete, quindi sono leggibili e non crittografati. Ovviamente, questo non è l’ideale, ma può funzionare in un pizzico.
Twitter sta attivamente raccontando non abbonati a Twitter Blue che il supporto SMS 2FA sarà solo per gli utenti paganti da marzo.
L’altro problema è che si basa sul messaggio inviato alla scheda SIM del tuo smartphone. Poiché i gestori possono essere indotti con l’inganno da un utente malintenzionato a scambiare le SIM su un sistema di account, è possibile che un numero di telefono funzioni interamente con un’altra carta SIM, forse già nelle mani dell’attaccante.
In tali casi, un codice 2FA legittimo basato su SMS potrebbe essere inviato attraverso la rete del corriere, ma essere ricevuto dall’attaccante. Se anche loro conoscono le credenziali del tuo account, ad esempio a causa di una violazione dei dati di un servizio importante, potrebbero potenzialmente accedere al tuo account e assumerne il controllo.
Poiché il sistema SMS stesso è l’anello debole, spostare 2FA su un’app sul tuo smartphone è una mossa saggia.
Iniziare con Google Authenticator
Google Authenticator è un’app di autenticazione molto consolidata e popolare, per diversi motivi. Per cominciare, è ragionevolmente semplice da usare, il che è fondamentale quando si cerca di incoraggiare più persone a proteggere i propri account in primo luogo.
Proviene anche da un nome noto nel mondo della tecnologia: Google. Indipendentemente dai tuoi sentimenti sull’attività pubblicitaria dell’azienda e sulle abitudini di raccolta dei dati, il riconoscimento del marchio è ancora una cosa importante per il pubblico in generale.
Aiuta anche il fatto che il supporto sia piuttosto diffuso.
Poi c’è la possibilità di utilizzare più dispositivi. È possibile configurare Google Authenticator su più dispositivi e fare in modo che i codici su tutti funzionino allo stesso modo.
Questo potrebbe non essere necessariamente considerato il massimo in termini di sicurezza, ma considerando che devi ancora accedere ai tuoi telefoni e tablet in primo luogo, è un buon compromesso.
Google Authenticator lo fa facile aggiungere account all’app.
Collegato a questo c’è il supporto multipiattaforma, poiché funziona su dispositivi iPhone, iPad e Android. Puoi averlo su iOS, iPadOS e Android se lo desideri davvero.
Tieni presente che in realtà non hai bisogno di un Account Google per questo. Mentre puoi ovviamente usarlo con il sistema di Google-e dovresti-puoi comunque usarlo con altri servizi di terze parti senza collegare il tuo account Google all’autenticatore.
Dato che il sistema si basa sull’inserimento di una chiave di configurazione o sulla scansione di un codice QR, si consiglia vivamente di configurare l’autenticazione a due fattori su un dispositivo diverso da quello su cui si sta configurando Google Authenticator SU.
Inoltre, mentre il modo generale di abilitare 2FA su un servizio è simile in tutto il settore, il modo effettivo di farlo per ogni app o servizio varierà. Quella che segue è più una guida generale piuttosto che istruzioni specifiche.
Come configurare Google Authenticator per iPhone e iPad
Scarica Google Authenticator dall’App Store al tuo dispositivo. È scaricabile gratuitamente. Accedi a qualsiasi servizio per cui desideri abilitare 2FA e prova a configurarlo. Questa potrebbe essere un’opzione nelle impostazioni dell’account in una sezione denominata”sicurezza”e un’opzione che offre di”impostare l’autenticazione a due fattori”, ad esempio, ma questo varierà tra i servizi. Quando richiesto, dovresti scegliere di utilizzare un’app di autenticazione. Ti potrebbe essere consigliato di utilizzare un’app di autenticazione specifica, quindi controlla che Google Authenticator sia presente nell’elenco. Una volta presentato un codice QR o una chiave di autenticazione, apri Google Authenticator sul tuo iPhone o iPad. Se questa è la tua prima aggiunta all’app, ti verrà chiesto come desideri aggiungere direttamente il codice. Altrimenti, seleziona il simbolo più in basso a destra dello schermo. Se ti viene presentato un codice QR nel sito o nell’app per cui stai configurando 2FA, seleziona Scansiona un codice QR, quindi usa la fotocamera del tuo dispositivo per scansionare il codice. Se viene offerta una chiave, inserisci il nome dell’account (di solito l’indirizzo e-mail pertinente) e la chiave fornita sullo schermo. Assicurati di selezionare se è Basato sul tempo o Basato sul contatore se il sistema di account lo consiglia, altrimenti lascialo su Basato sul tempo. Ti verrà quindi chiesto di confermare che il sistema di autenticazione ha funzionato. Inserisci il codice a sei cifre che appare sullo schermo del tuo dispositivo nell’app o nel servizio con cui stai impostando 2FA come conferma.
Una volta configurato, ti verrà chiesto di utilizzare l’app di autenticazione per generare un codice per accedere ai servizi, ogni volta che accedi.
Questo è semplice, poiché tutto ciò che devi fare è aperto Google Authenticator, cerca il servizio e il nome dell’account ad esso relativo, quindi leggi il codice a sei cifre associato. Poiché il codice cambia periodicamente, potresti voler attendere fino a quando il timer scade e viene visualizzato un nuovo codice, per massimizzare il tempo di inserimento del codice.
Puoi inserire manualmente i dettagli di sicurezza, ma un codice QR è più veloce.
Se stai inserendo il codice in un’app sullo stesso dispositivo, tocca il codice per copiarlo negli appunti, che puoi quindi incollare nella casella di testo dell’app per l’inserimento.
Come eliminare gli elenchi degli account da Google Authenticator per iOS
Apri l’app e tocca i tre punti in alto a destra. Tocca Modifica. Tocca l’icona della matita accanto all’account pertinente. Tocca il cestino. Nella casella di conferma, tocca Rimuovi account.
Ricorda che la rimozione di un account dall’app Google Authenticator non influisce sullo stato di 2FA sull’account stesso. Se desideri rimuovere 2FA dall’account, fallo prima di rimuovere l’elenco di Google Authenticator.
Solo l’inizio…
Puoi fare più cose con Google Authenticator, come configurarlo in modo da ottenere gli stessi codici su più dispositivi. Sì, puoi utilizzare più dispositivi utilizzando la stessa app per scansionare il codice QR al momento della configurazione. Tuttavia, puoi anche sfruttare la funzione di esportazione per fare la stessa cosa per più codici contemporaneamente.
