Ieri pomeriggio mi è arrivato su una delle mie caselle di Gmail un messaggio con titolo quello mostrato qui sopra. In pratica, dalla prossima settimana tutte le volte in cui dovrò connettermi mi servirà avere con me il telefono (o l’app Messaggi di Google, tanto per dire quant’è la sicurezza di questa misura…) per far funzionare l’autenticazione a due fattori. Immagino che man mano anche gli altri account lo richiederanno.
Ma secondo voi vale davvero la pena di complicare così tanto le cose?
Puoi anche generare i TOTP da PC, non serve il telefono. Per esempio c’è oathtool: https://www.nongnu.org/oath-toolkit/oathtool.1.html
A dispetto di tutta la propaganda, 2FA significa solo avere due password, una delle quali è obbligatoriamente generata dal servizio invece che dall’utente.
E’ sperimentalmente dimostrato che con la 2FA calano drasticamente le denunce di abusi, io non userei la parola propaganda, la ciccia dietro c’è. Poi se tu mi dici “ma la mail che valore può avere” io ti rispondo che se buco il tuo account di posta ti rivolto come un calzino, e ti posso inserire in una serie di guai che neppure ti immagini.
Tenetevi ben stretta la 2FA, ragazzi, ve lo dice uno che di cose ne ha viste.
Beh, non sono “due password” ma sono “qualcosa che sai” (la password utente) e “qualcosa che hai” (il telefono).
Comunque non mi è chiaro che lo scopo è potenziare ulteriormente il servizio di ficcanasaggio massivo oppure di ficcanasare più o meno lo stesso quantitivo di persone ma con minori risorse. Si capirà più avanti.
come ho scritto, l’sms può anche arrivare sul pc e quindi non è “qualcosa che ho”.
Veramente non ho trovato traccia che il “2 fattore” può essere un generico PC mai visto prima. Se non hai il cell, si parla della mail di backup. Boh, vedremo quando sarà obbligatoria ma cmq se funziona per qualche centinaio di milioni di accounts… credo che possa anche bastare per accontentare le barbe finte, i governi democratici & simili ficcanaso.
la differenza è che mentre tu in genere hai il telefono con te non è detto che tu abbia quel pc con te, anche se è tuo.
Quello che ti viene richiesto è un codice, su un device (presumibilmente) in tuo possesso e controllo. Questo è il cuore della 2FA: non è importante che sia il telefonino, ma qualcosa che presumibilmente utilizzi solo tu (e certificare quindi la regolarità della transazione). Come si è detto è possibile utilizzare dei generatori di codici (TOTP Time-based One-time Password) da un qualsiasi device. Certo il telefonino è senza dubbio il caso più frequente e comodo.
“Comunque non mi è chiaro che lo scopo è potenziare ulteriormente il servizio di ficcanasaggio massivo oppure …”
Credici o no, big G non ci guadagna nulla sugli utenti con la 2FA, se non un (significativo) risparmio sui costi di gestione dei suoi servizi. Non c’è davvero altro sopra. Il fatto tu richieda un codice o meno non importa nulla, perché l’utilizzo di gmail per dire è troppo “generico” in sé per essere utile in chiave profiling per l’advertisement.