Immagini Getty
Google sta rendendo più semplice per le persone proteggere i propri account con una forte autenticazione a più fattori aggiungendo l'opzione per archiviare chiavi di crittografia sicure sotto forma di passkey anziché di dispositivi token fisici.
Programma di protezione avanzata di Google, piede Nel 2017, richiede la forma più potente di autenticazione a più fattori (MFA). Mentre molte forme di autenticazione a più fattori si basano su passcode monouso inviati tramite SMS o e-mail o generati da app di autenticazione, gli account registrati alla protezione avanzata richiedono l'autenticazione a più fattori basata su chiavi di crittografia archiviate su un dispositivo fisico sicuro. A differenza dei passcode monouso, le chiavi di sicurezza archiviate sui dispositivi fisici sono immuni al phishing delle credenziali e non possono essere copiate o sniffate.
Applicazione democratica
Advanced Protection Program (APP), abbreviazione di Advanced Protection Program, richiede che la chiave sia accompagnata da una password ogni volta che un utente accede a un account su un nuovo dispositivo. Le protezioni prevengono i tipi di furto di account che hanno consentito agli hacker sostenuti dal Cremlino di accedere agli account Gmail dei funzionari democratici nel 2016 e quindi di far trapelare e-mail rubate per interferire nelle elezioni presidenziali di quell'anno.
Fino ad ora, Google richiedeva alle persone di avere due chiavi di sicurezza fisiche per registrarsi all'app. Ora, l'azienda consente alle persone di utilizzare due passkey o una passkey e un codice fisico. Chi desidera maggiore sicurezza può registrarsi utilizzando quante chiavi desidera.
“Stiamo lavorando per espandere lo slot in modo che le persone abbiano più scelta su come iscriversi a questo programma”, ha detto ad Ars il responsabile del progetto APP, Shuvo Chatterjee. Ha detto che questa mossa arriva in risposta al feedback che Google ha ricevuto da alcuni utenti che non erano in grado di acquistare chiavi fisiche o vivevano o lavoravano in aree in cui le chiavi non erano disponibili.
Come sempre, gli utenti sono comunque tenuti ad avere due chiavi di registrazione per evitare di essere bloccati fuori dagli account se una delle chiavi viene persa o danneggiata. Sebbene i divieti siano sempre un problema, possono essere molto peggiori per gli utenti dell'app perché il processo di recupero è più rigoroso e richiede molto più tempo rispetto agli account non registrati nel programma.
Passkeys è la creazione dell'Alleanza FIDO, un gruppo intersettoriale composto da centinaia di aziende. Vengono archiviati localmente su un dispositivo e possono anche essere archiviati nello stesso tipo di token del dispositivo che archivia le chiavi MFA. Le passkey non possono essere estratte dal dispositivo e richiedono un PIN, un'impronta digitale o la scansione del volto. Le passkey forniscono due fattori per l'autenticazione: qualcosa che l'utente conosce (la password di base utilizzata quando la passkey viene creata per la prima volta) e qualcosa che l'utente possiede, sotto forma di dispositivo che memorizza la passkey.
Naturalmente i requisiti rilassati non vanno oltre, dato che gli utenti devono ancora avere due dispositivi. Ma espandendo i tipi di dispositivi richiesti, le app sono diventate più accessibili, poiché molte persone possiedono già un telefono e un computer, secondo Chatterjee.
“Se ti trovi in un posto dove non puoi ottenere chiavi di sicurezza, sarà più conveniente”, ha spiegato “Questo è un passo verso la democratizzazione della quantità di accesso alle informazioni”. [users] Accedi al livello di sicurezza più elevato che Google ha da offrire.
Nonostante il maggiore controllo coinvolto nel processo di recupero degli account APP, Google rinnova la raccomandazione agli utenti di fornire un numero di telefono e un indirizzo email come backup.
“Il massimo che puoi fare è tenere più cose in archivio, quindi se perdi la chiave di sicurezza o la chiave si spegne, hai un modo per rientrare nel tuo account”, ha detto Chatterjee. Non ha fornito dettagli sulla “salsa segreta” su come funziona il processo, ma ha affermato che comporta “tonnellate di segnali che esaminiamo per capire cosa sta realmente accadendo”.
“Anche se hai un telefono di recupero, il telefono di recupero stesso non ti darà accesso al tuo account”, ha detto. “Quindi, se la tua scheda SIM viene scambiata, non significa che qualcuno possa accedere al tuo account. È una combinazione di diversi fattori. È la somma di questi fattori che ti aiuterà nel percorso verso il recupero.”
Gli utenti di Google possono registrarsi per l'app visitando questo link.
“Pensatore. Fanatico professionista di Twitter. Introverso certificato. Piantagrane. Esperto di zombi impenitente.”
