‘Due passaggi’ for dummies

Allora, la situazione è un po’ questa: Internet non è sicuro, ma tu sei un caprone!

Che internet non sia un ambiente sicuro lo sanno tutti. Bisogna stare attenti perchè i furbacchioni hanno più tempo di noi (poi sulla questione ‘tempo’ ritorno).

Vi arriva una email che vi chiede di cambiare la password del conto corrente? Qui lo so che siete bravi non ci cascate.

Vi dicono che avete vinto la lotteria? Anche qui siete bravini e non ci cascate.

Ma se vi dicono: ‘ehi lascia perdere login e password, collegati con Twitter, Facebook o Google‘, allora lo fate subito.

Questa modalità di usare i connettori sociali come credenziali per accedere a nuovi servizi è indubbiamente comoda ed è anche un modo per evitare la scocciatura di dover creare ogni volta un profilo ad hoc, scegliere una nuova password eccetera.

Tecnicamente si chiama Single Sign On o anche Autenticazione Federata e usa diverse tecniche, fra le più famose http://oauth.net/2/  , ma anche altre che sfruttano la tecnica cosiddetta della ‘chiave del parcheggiatore’:

Magari guardando un film americano avrete notato come molte auto di lusso abbiano in dotazione una chiave supplementare per il parcheggiatore, che limita l’utilizzo dell’auto. Ah, ah, ok, voi credevate che il personaggio famoso che si reca al ristorante affidasse la sua auto al portiere con la chiave originale. Ahi, ahi, ahi!
E invece l’attore famoso gli ha dato solo una chiave supplementare che dopo pochi chilometri blocca la macchina, se non addirittura il bagagliaio e le portiere.

Quando usiamo Twitter o altri servizi per autenticarci a un sito, a un app sullo smartphone ecc, in pratica concediamo a Twitter stessa solo la chiave del parcheggiatore, ovvero un accesso limitato al nostro profilo utile per attestarci e presentarci.

Detto questo però, la password di Twitter diventa importante. Io la uso per molti servizi che con il cazzeggio sociale non hanno nulla a che fare. Fra i più interessanti cito ad esempio il mio conto su Alitalia.

Immagine

Ma veramente un sacco di servizi mi chiedono di usare questa comodità, credetemi. E io lo faccio volentieri. Anche voi?

Bene, adesso pensiamo anche a come le applicazioni dei nostri cazzabubboli (smarthone e tablet in primis) si collegano quotidianamente fra di loro.

Vuoi salvare una foto su Dropbox? Perchè no, è bellissimo. Ok, allora devi inserire la password di Dropbox sul tuo smartphone. E ci sono un sacco di app fighissime che fanno queste cose con documenti, foto, musica, ecc.

Vuoi salvare una presentazione che hai appena creato con Keynote di Apple sul cloud di Microsoft? Mi ca è una bestemmia. Garantisco che è una figata.

Tutti si federano con tutti et voilà, si guadagna tempo e sicurezza. Forse.

Però, i più pigri preferiscono ancora usare le applicazioni e i servizi in modalità non federata e di volta in volta son costretti a digitare password, spesso le più diverse scelte per ogni situazione, dimenticandole, richiedendone la rigenerazione, ecc. Che barba che noia.

Questi tizi mica si fidano della chiave del parcheggiatore e pensano che perdendo un po’ più di tempo e rinunciando agli automatismi si possa acquistare più sicurezza.

La verità sta nel mezzo, perchè poi succede ci ritroviamo altrove, magari senza smartphone o semplicemente non lo usiamo a Londra piuttosto che a Los Angeles perchè il roaming ci costa un botto. Allora utilizziamo un PC pubblico dell’albergo. O semplicemente il WiFi di un ristorante e quindi siamo ospiti di reti altrui con una sicurezza così, così, tutta da verificare.

Quando, in queste situazioni, siamo portati a digitare password a raffica in ambienti sconosciuti, queste possono essere intercettate. Ah, ok, non lo sapevate. Bene sappiate che è proprio così. Suvvia un po’ di strizza, dai!

Certo, si potrebbe installare un client VPN  (gratuito o meglio a pagamento) e cifrare tutto il traffico in modo che i malintenzionati rimangano a bocca asciutta.

Entrambe le tipologie di utenti (quelli rock che federano tutto e quelli lenti che preferiscono tenere i servizi separati) da diversi anni hanno la possibilità di fare meglio. Molto meglio. E non vi parlo dei gestori di password, quelli che ne generano di complicatissime, ma della verifica in due passaggi che io uso da sempre, laddove viene applicata dai fornitori di servizi.

In pratica si tratta di perdere un po’ di tempo e capire come funziona la prima volta per poi vivere molto, ma molto più sicuri e tranquilli.

In pratica funziona come il conto in Banca. Con la password di accesso (primo passaggio) puoi vedere il conto, con il PIN (secondo passaggio) puoi effettuare operazioni.

La stessa cosa si può fare con tutti i servizi che usiamo: Google, Facebook, Twitter, Dropbox, Microsoft e chi più ne ha più ne metta.

Si può scegliere di farsi mandare il PIN sul telefono (ma io lo sconsiglio perchè a volte il cellulare non ha campo) oppure di usare una stupenda app come Google authenticator.

Immagine

Il vantaggio di questa app è che funziona anche senza rete mobile, quindi siamo tranquilli anche quando ci troviamo in un bell’albergo di Londra con il WiFi gratuito e a palla, ma il nostro roaming dati è disattivato e quello voce non funziona per ricevere l’SMS che ci recapita il PIN.

Oggi, tutte i servizi web più moderni permettono la configurazione veloce con un QR code, come ad esempio fa proprio Dropbox che in queste ore ha dichiarato che son state rubate molte password. Per la precisione 7 milioni di password.

Quindi basta aprire Google authenticator, cliccare su ‘aggiungi servizio’ e puntare lo smartphone sullo schermo del pc dove si trova il QR code del nostro account di Dropbox. Facile no?

dropboxqrcode-11401401

Vi invito a fare la stessa operazione con tutte i servizi che lo permettono.

Ma cosa succede da questo punto in avanti?

A) Per gli smanettoni: Tutte le app federate smetteranno di funzionare. Dovrete aggiungere a mano una password speciale (cosiddetta password applicativa) che il servizio scelto vi fornirà. Twitter genera le sue, Google ovviamente fa altrettanto e così Dropbox, ecc. Ma la bella notizia è che lo si fa una volta sola e poi funziona per sempre.

B) Per quelli lenti che inseriscono sempre la password, sarà come entrare sempre in banca. Ovvero, voglio accedere a Dropbox? bene, dopo aver digitato la password mi verrà richiesto un PIN che potrò generare con l’app di Google Authenticator. Facile no?

Siete ancora li fermi e non avete attivato la 2 steps verification?

Chi perde tempo la prima volta ne guadagnerà tanto, ma davvero tanto in seguito. Fidatevi. E …… poi non dite che non ve lo avevo detto :)

3 Comments

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...