La verifica in due passaggi è fredda e imperfetta. Google Authenticator ne è il miglior esempio.

Anni fa, l’utilizzo degli SMS come sistema di verifica in due passaggi (2FA, autenticazione a due fattori) sembrava l’ideale. Comodo, facile da usare e decisamente comodo. Poi è arrivato un file Problemi di sicurezza: L’hacking del sistema era fattibile, il che ha sollevato la necessità di ricorrere ad altre alternative.

È così che le app di autenticazione hanno iniziato a guadagnare terreno. Google Authenticator o Microsoft Authenticator o autore È tra i più famosi ed è sicuramente un’alternativa più sicura e affidabile agli SMS. Anche se non è perfetto, e Visualizzato da Google Authenticator.

I backup dell’autenticatore sono finalmente arrivati

Perché? Bene, perché Google questa settimana annunciare Cosa interessante: l’app Google Authenticator è stata aggiornata due volte. Innanzitutto è stato modificato il logo, che ha adottato un formato e un design più colorati in linea con il resto delle sue app e servizi.

In secondo luogo, e molto più importante, Google stava finalmente offrendo la possibilità di farlo Eseguire il backup dei nostri codici Password monouso (note anche come password monouso o password monouso) per il nostro account Google.

Sembra un piccolo cambiamento, ma in realtà era qualcosa che era molto richiesto dagli utenti. Lo stesso Google lo ha riconosciuto nella sua dichiarazione ufficiale:

Uno dei principali commenti che abbiamo ricevuto dagli utenti nel corso degli anni è stata la complessità dei dispositivi su cui è stato installato Google Authenticator che sono stati smarriti o rubati. Poiché i codici di autenticazione una tantum venivano archiviati solo su un dispositivo, la perdita di quel dispositivo significava che gli utenti perdevano la possibilità di accedere a qualsiasi servizio in cui avevano configurato 2FA con Authenticator.

Ecco com’è. Chi ha utilizzato l’app Authenticator sul proprio dispositivo e ha perso (o ha funzionato male) il cellulare Conosce troppo bene l’incubo che ne seguì. A meno che tu non abbia salvato il codice QR generato durante l’esportazione – e dovevi essere molto proattivo – sei perso. C’era un’altra opzione: effettuare un’esportazione su un vecchio telefono cellulare che conserverai per dopo nel caso accada il peggio. UN Un vero disastro chi conosco Si sono pentiti da Hanno sofferto.

Questa opzione risolve finalmente il problema. Spiegazione Google sul loro sito di supporto Aggiorna Come attivarlo, accedi al tuo account Google in Google Authenticator.

fare icone con il tuo conto Può essere reimpostato su qualsiasi dispositivo che utilizzi con quell’Account Google. Aggiungono che anche “puoi trasferire manualmente i tuoi codici su un altro dispositivo, anche se non hai effettuato l’accesso a un account Google”. Se approfitti di questa opzione, sì, devi farlo nel modo giusto, come mostrato Su 9to5Google.com.

Se hai configurato Google Authenticator su più dispositivi, fai attenzione quando aggiorni alla nuova versione e attivi la sincronizzazione. Durante la sincronizzazione, Google non riconoscerà né unirà automaticamente i codici corrispondenti. Di conseguenza, potresti ritrovarti con molti duplicati.

Per evitare ciò, configura prima la sincronizzazione sul tuo dispositivo principale, quindi rimuovi qualsiasi altra istanza dell’app Google Authenticator. In questo modo, quando reinstalli l’app aggiornata sui tuoi dispositivi secondari, si sincronizzerà solo dal tuo dispositivo principale e non mostrerà duplicati.”

Ma non è tutto roseo su Google Authenticator

Il cambiamento è molto gradito ed è strano che Google abbia impiegato 13 anni – Authenticator lanciato nel 2010 – per aggiungerlo quando esistevano già altre alternative come Authy. Quest’ultima opzione qui ha un’altra caratteristica interessante: un modo per consentire o impedire a più dispositivi di utilizzare un singolo account, che aggiunge ulteriore sicurezza.

Non sappiamo se Google finirà per offrire anche questo miglioramento, ma ciò che manca è qualcosa che gli esperti di sicurezza informatica hanno subito notato: la sincronizzazione dei dati di autenticazione. Viene eseguito in testo normale, senza crittografiaqualcosa tra le altre cose Gli esperti di sicurezza informatica di Mysk hanno commentato.

Questo presenta esattamente un problema di sicurezza di cui per fortuna Google è ben consapevole. Christian Brand, uno degli amministratori del servizio, ha commentato su Twitter come stanno lavorando alla crittografia end-to-end (E2EE, End-to-End Encryption).

Tuttavia, Brand ha aggiunto che l’implementazione di E2EE comporta “il costo di consentire agli utenti di bloccare i propri dati senza ripristinarli”. Non esiste una data stimata per l’arrivo di questa crittografia, lasciando agli utenti due opzioni: utilizzarla così com’è senza questa crittografia end-to-end o semplicemente utilizzare Google Authenticator come hanno fatto, senza accedere al proprio account Google. programma.

secondo me Il primo è molto più consigliato Perché questa soluzione evita decisamente una delle grandi limitazioni imposte dall’app Google Authenticator. Alternative come Microsoft Authenticator o Authy sono sicuramente degne di nota, ma abbiamo già discusso che esiste un’opzione migliore: i token di sicurezza come Yubikey, che sono dispositivi fisici che rendono più difficile per gli aggressori informatici accedere ai nostri sistemi e dati.

Questo, ovviamente, causa più disagio agli utenti, ma fino a quando non arriverà quel futuro senza password che le tecnologie come le password ci promettono, continueremo a convivere con questi piccoli grandi inconvenienti nella nostra vita digitale quotidiana.

A Xataka | Google forzare l’autenticazione a due fattori (2FA) è un’ottima idea: perché gli altri dovrebbero fare lo stesso