Usare il proprio account Google, soprattutto su un telefono Android, è qualcosa che facciamo praticamente senza rendercene conto.

Mail, foto, applicazioni, contatti sono collegati al nostro account e perderlo sarebbe un bel colpo. Potreste anche essere tra quelli che si affidano a Google per salvare le password dei vari siti e in tal caso rimanere tagliati fuori dal proprio account Google significherebbe rimanere tagliati fuori anche da tutti gli altri. Senza contare che se avete collegato la vostra carta di credito potrebbe essere anche peggio.

A volte una password complessa non è sufficiente, fidatevi. Nel forum di Gmail c’è sempre qualcuno che chiede aiuto perché ha subito un accesso non autorizzato al suo account Google. Peggio ancora qualcuno potrebbe avergli cambiato la password e i dati di recupero chiudendolo fuori dal suo account.

Non sarebbe bello e più sicuro se, ogni volta che ci fosse un tentativo di accesso al nostro account Google, il nostro cellulare ci chiedesse di autorizzarlo?

Questo è già possibile, senza dover diventare degli esperti di sicurezza informatica.

Il consiglio che ormai ripeto da anni, quasi come fossi un disco rotto, è: “Attivate la 2-step”

 

2-Step per l’account Google

Di cosa si tratta? La 2-step o, ufficialmente, “Verifica in due passaggi” è semplicemente un secondo passo di sicurezza oltre alla password.

Come funzionerebbe quindi l’accesso al vostro account?

Ci sono diverse modalità d’uso ma innanzitutto bisogna fare il classico login con utente e password, senza quelli non si va da nessuna parte. Poi serve un passo in più e il gioco è fatto.

Il mio consiglio (esistono diversi metodi) è usare il proprio telefono come strumento di controllo.

Procediamo per piccoli passi:

  1. Attivare la 2-step per il nostro account è molto semplice e di default verrà attivato come secondo passaggio l’invio di un codice tramite sms o chiamata vocale
  2. Aggiungiamo un telefono nell’opzione Messaggio di Google

Adesso abbiamo attivato un nuovo livello di sicurezza e ogni volta Google riceverà le vostre credenziali il telefono vi mostrerà una schermata come questa

 

Richiesta di accesso

 

Ovviamente autorizzando l’accesso si procede normalmente, altrimenti il telefono ci confermerà che l’accesso è stato impedito

 

Accesso negato

 

 

Ulteriore sicurezza

Anche se potremmo fermarci qui mi sembra giusto guidarvi ad aumentare ulteriormente la sicurezza del proprio account.

Cosa succederebbe infatti se cambiassimo numero di telefono o non avessimo accesso al nostro smartphone?

Per evitare questi e altri problemi Google mette a disposizione una serie di opzioni per assicurarvi il maggior controllo possibile sul vostro account, analizziamoli insieme

  • I Codici di backup sono 10 codici monouso che consiglio di stampare e portarsi sempre appresso per ogni evenienza
  • L’App Authenticator è un’applicazione di Google che genera codici per poter accedere al vostro account. Molto comoda ma io consiglio Authy visto che è multipiattaforma e può sincronizzare i vostri account su tutti i dispositivi
  • Il Numero di telefono di backup a cui ricevere i codici. Può essere quello di un parente, di un amico fidato, di casa o qualunque numero che voi riteniate completamente affidabile

La scelta più sicura è di attivare tutte queste funzionalità per evitare che perdiate l’accesso al vostro account … fidatevi capita.

 

La massima sicurezza

Mettiamo che voi riceviate una mail da un mittente @googⲒe.com con la classica grafica di Google e che vi inviti a accedere al vostro account tramite un link googⲒe.com e su quella pagina troviate la familiare maschera per l’inserimento delle vostre credenziali. Procedete tranquillamente e vi viene richiesto sul telefono se siete voi a tentare l’accesso (o qualsiasi altro metodo abbiate scelto per la 2-step).

A questo punto qualcuno vi ha appena rubato l’account. Il dominio che ho scritto infatti non è quello ufficiale di google ma ho sostituito la “l” con un simbolo simile “Ⲓ” (ci sono esempi anche più realistici, su alcuni sistemi il carattere che ho usato, e assomiglia a una “L” minuscola, non viene nemmeno visualizzato). Cos’è successo quindi? Avete appena dato le vostre credenziali a malintenzionati che le hanno usate per collegarsi veramente a Google, appena ci hanno provato Google ha chiesto la vostra autorizzazione e voi l’avete concessa.

Scenario apocalittico ma decisamente reale. Si può fare qualcosa per evitare queste situazioni?

Esiste un’ultima opzione per la 2-step che non abbiamo ancora affrontato. Purtroppo è incompatibile con il Messaggio di Google quindi dovrete scegliere tra le due opzioni.

Per poter attivare Token di sicurezza però dovrete avere anche un token fisico, su Amazon si trovano facilmente tra i 20 e i 55 euro.

 

Token FIDO U2F

 

Questi dispositivi vanno inseriti nella porta USB del vostro pc/mac e offrono una protezione migliore contro questo tipo di attacchi, poiché si servono di crittografia invece di codici di verifica e funzionano automaticamente solo con il sito web predisposto a tal fine.

Un piccolo prezzo per la massima sicurezza che possiate avere per il vostro account Google.

 

Un tocco ulteriore

Nel caso non voleste acquistare un token vi suggerirei di installare l’estensione ufficiale di Google per Chrome che vi avvisa se inserite la password del vostro account Google in altri siti o se state per inserirla in una pagina di phishing. Per approfondimenti vi rimando alle FAQ

 

Estensione Password Alert Chrome