Notizie: se possiedi un dispositivo Android, prova Firefox per Android, un browser scattante e dinamico per navigare in ambiente mobile.

Autore Topic: GMail, dal 9 novembre autenticazione a due fattori obbligatoria  (Letto 3894 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Online next

  • Post: 2080
Apro questa discussione come segnaposto per quella che tempo possa essere una nuova ondata di problemi  :shock:

Sembra che Google stia per imporre l'autenticazione a due fattori per l'accesso a Gmail. Questo comporterà che tutti i client di terze parti non riusciranno più ad accedere a Gmail se non rivedendo la configurazione.

Alcune di fonti:
* https://www.hwupgrade.it/news/web/google-accesso-con-verifica-in-due-passaggi-obbligatorio-per-milioni-di-utenti_101679.html
* https://www.tuttoandroid.net/news/2021/11/02/account-google-verifica-in-due-passaggi-9-novembre-2021-917255/
* https://www.corriere.it/tecnologia/21_ottobre_06/google-introduce-verifica-due-passaggi-150-milioni-utenti-cos-e-cosa-cambia-5abeb726-26c7-11ec-80e1-1715b255e4f7.shtml

Come risolvere?
Al momento sembra di capire che per risolvere il problema si debba:
* Abilitare la verifica in due passaggi -> https://support.google.com/accounts/answer/185839?hl=it
* Utilizzare OAuth2 per l'autenticazione (nei client che lo supportano, come le versioni recenti di Thunderbird) -> https://support.google.com/a/answer/9003945?hl=it
* In alternativa ad OAuth, creare una password per applicazione -> https://support.google.com/mail/answer/185833?hl=it

FAQ di Mozilla Italia sull'argomento:
https://forum.mozillaitalia.org/index.php?topic=76956.0
« Ultima modifica: 07 Giugno 2022 17:01:35 da miki64 »

Offline miki64

  • Moderatore
  • Post: 33649
Re:GMail, dal 9 novembre autenticazione a due fattori obbligatoria
« Risposta #1 il: 04 Novembre 2021 18:08:57 »
Oppure, per leggere al posta arrivata su Gmail senza fornire alcun numero di telefonino, si potrebbe utilizzare questa opzione dalla webmail.

Inoltrare automaticamente messaggi di Gmail a un altro account

(E presto questo topic forse sarà accorpato ad uno già esistente in una FAQ)

Offline deckard

  • Post: 3332
Re:GMail, dal 9 novembre autenticazione a due fattori obbligatoria
« Risposta #2 il: 05 Novembre 2021 00:51:49 »
Secondo me per ora è meglio che rimanga evidenziata come messaggio a parte. Magari si può mettere il rimando nella discussione relativa alle FAQ.
Il numero di telefonino potrebbe sembrare come una cosa contraria alla tutela della propria privacy, e forse qualche ottima ragione per pensarlo c'è, ma c'è la possibilità di non ricevere i codici per l'autenticazione a due fattori tramite SMS o telefonata (cosa che io consiglio caldamente).
L'autenticazione multifattoriale è molto importante per quanto io non condivida pienamente l'imposizione (specialmente tramite attivazione automatica) poiché Google non è solo Gmail ed essa protegge l'accesso a tutti i servizi del sito con la propria utenza.
Personalmente per Google ho attivato l'autenticazione a due fattori con Token Hardware o con app Authy. Non ho la certezza che la posta sia inviolabile, se volessero fare cose stile NSA o Mossad forse vi riuscirebbero lo stesso, ma almeno ho una tutela in più.

Offline miki64

  • Moderatore
  • Post: 33649
Re:GMail, dal 9 novembre autenticazione a due fattori obbligatoria
« Risposta #3 il: 05 Novembre 2021 13:53:37 »
Secondo me per ora è meglio che rimanga evidenziata come messaggio a parte. Magari si può mettere il rimando nella discussione relativa alle FAQ.
Uhm, giusto. Approvato!  ;)

Il numero di telefonino potrebbe sembrare come una cosa contraria alla tutela della propria privacy, e forse qualche ottima ragione per pensarlo c'è, ma c'è la possibilità di non ricevere i codici per l'autenticazione a due fattori tramite SMS o telefonata (cosa che io consiglio caldamente).
Aspetta, non ho capito che cosa consigli caldamente come soluzione.
Io osteggio l'uso del telefonino per una lunga serie di ragioni:
1) posso non avere il telefono in quel momento con me, perché magari è in un'altra stanza o in un'altra casa a caricarsi;
2) posso avere il telefono scarico;
3) posso trovarmi in una zona dove non c'è ricezione;
4) posso avere il telefonino in assistenza e quindi utilizzare un telefono di cortesia che non viene riconosciuto;
5) posso non avere il telefonino perché me lo hanno sottratto e invece mi serve collegarmi magari al mio account Gmail dove nelle bozze mi sono salvato dei codici e dei numeri di telefono appositi proprio per lo specifico caso di furto;
6) posso non avere il telefonino perché me l'ho perso.

Esempi altamente improbabili? Uh, sì, certo... fino a quando non capitano proprio a noi!  :sbat:

Offline MCN

  • Post: 40
Re:GMail, dal 9 novembre autenticazione a due fattori obbligatoria
« Risposta #4 il: 05 Novembre 2021 15:52:14 »
seguo perche' sono interessato, ho gia' ricevuto avviso di questo cambiamento via mail

Offline deckard

  • Post: 3332
Re:GMail, dal 9 novembre autenticazione a due fattori obbligatoria
« Risposta #5 il: 05 Novembre 2021 16:43:14 »
Prima cosa: fornire a Google il numero di telefono come numero di telefono di contatto, anche per “fini di sicurezza generici” è diverso dall'impostare un numero di telefono per ricevere i codici utili all'autenticazione multifattoriale. Sono due dati che vengono gestiti in maniera completamente diversa.

Account => Informazioni personali => Informazioni di contatto: Telefono
Questa opzione può servire per gestire l'account se fosse inattivo per un periodo che va da 3 mesi a 18 mesi, se il proprietario accetta di essere contattato per dire, ad esempio: “Ho trovato lavoro come operaio all'ortomercato, lavoro 16 ore al giorno e non ho tempo per le e-mail”...
Fornire questa informazione può avere dei vantaggi primari e secondari, anche se potrebbe sembrare come una cosa contraria alla tutela della propria privacy, e forse qualche ottima ragione per pensarlo c'è.

Account => Sicurezza => Accesso a Google => Verifica in due passaggi => Inserire password =>
Citazione
Aggiungi altre opzioni per il secondo passaggio per verificare la tua identità
Configura passaggi di backup aggiuntivi per accedere anche se le tue altre opzioni non sono disponibili.
Messaggio di testo o vocale
Ricevi i codici tramite SMS o telefonata.

Telefonate ed SMS sono dei mezzi insicuri per ricevere i codici, e non sono io ad affermarlo, ma vari esperti del settore.
Un cellulare può essere clonato. La SIM può essere oggetto di SIM Swapping. Oppure gli SMS potrebbero essere intercettati tramite una vulnerabilità SS7: https://it.wikipedia.org/wiki/Signaling_System_7
Le soluzioni che io raccomando sono i Token Hardware e una app di autenticazione come Google Authenticator, Authy, Microsoft Authenticator e altre app in grado di generare codici OTP.

Se si prevedono quattro possibili modi in cui qualcosa può andare male, e si prevengono, immediatamente se ne rivelerà un quinto, okay, ma:
1) e 2) il token hardware è di piccole dimensioni (ancora minori rispetto a quelle di una chiavetta USB) e non richiede carica
3) la app di autenticazione per generare i codici OTP non richiede connessione telefonica o dati
4) quando si porta il telefono in assistenza si verifica attentamente che il centro tecnico sia affidabile. Comunque c'è e la possibilità di adoperare dei metodi di riserva per accedere
5) e 6) se il telefono è stato sottratto può essere riportato da remoto alle impostazioni di fabbrica o essere addirittura “mattonato”
E questo riguarda il fatto che se si accede a Google l'azienda invia un messaggio al dispositivo (nel senso che appare un popup che chiede di confermare l'accesso) e se questo è in mano al ladro criminale informatico codesta persona dirà: certo che sono io ad accedere, ti do il permesso io di mostrarmi i contenuti delle email... motivo in più per riportare alle impostazioni di fabbrica o “mattonare” un dispositivo perso o rubato (oltre al cambiare varie credenziali d'accesso)...
https://support.google.com/accounts/answer/7026266?hl=it
Io osteggio l'uso del telefono perché tale strumento è insicuro e pericoloso in questo caso. E questo costituisce una motivazione in più per tenere al sicuro e separatamente sia i dispositivi con i quali s'è fatto l'accesso a Google e le credenziali di Google eper impostare una valida schermata di blocco sui propri dispositivi.

Nulla è improbabile: il problema non è il se, ma il quando certe cose potrebbero accadere ed è la ragione dietro al motto dei Boyscout, pardon Vangelo di Matteo: Estote Parati.
O per dirla diversamente la paranoia è una virtù e bisogna chiedersi se si è abbastanza paranoici per affrontare la vita con sufficiente preparazione perché nella vitaci sono tre parametri: la preparazione, l'impreparazione e l'imponderabile...

Offline MCN

  • Post: 40
Re:GMail, dal 9 novembre autenticazione a due fattori obbligatoria
« Risposta #6 il: 10 Novembre 2021 07:56:24 »
Da stamattina non mi funzionava più Thunderbird. Ho disattivato la verifica in 2 passaggi dalle impostazioni account, adesso pare funzioni come prima

Offline miki64

  • Moderatore
  • Post: 33649
Re:GMail, dal 9 novembre autenticazione a due fattori obbligatoria
« Risposta #7 il: 10 Novembre 2021 14:29:39 »
Ma l'avevi attivata tu  volontariamente, prima?  :?

Offline MCN

  • Post: 40
Re:GMail, dal 9 novembre autenticazione a due fattori obbligatoria
« Risposta #8 il: 10 Novembre 2021 15:54:53 »
No assolutamente, mi è arrivata mail che sarebbe stata attivata obbligatoriamente da una certa data e così e stato. Ma poi dalle impostazioni ho trovato modo di disattivarla

Offline miki64

  • Moderatore
  • Post: 33649

Offline Peppino

  • Post: 1068
Gmail - verifica in due passaggi
« Risposta #10 il: 02 Dicembre 2021 11:42:22 »
Buongiorno a tutti, ho appena ricevuto una email dove Google dice:

Citazione
per accedere al tuo account dopo avere inserito la password, dovrai completare un secondo passaggio sul telefono. Tieni il telefono a portata di mano quando accedi.

La verifica in due passaggi verrà attivata automaticamente il giorno 9 dicembre. Se vuoi, puoi attivare prima questa funzionalità: il tuo account è pronto.

La mia domanda è: ma in TB cosa succederà ?
« Ultima modifica: 02 Dicembre 2021 15:26:27 da miki64 »

Online next

  • Post: 2080
Re:Gmail - verifica in due passaggi
« Risposta #11 il: 02 Dicembre 2021 16:15:14 »

Offline miki64

  • Moderatore
  • Post: 33649
Re:GMail, dal 9 novembre autenticazione a due fattori obbligatoria
« Risposta #12 il: 02 Dicembre 2021 16:53:30 »
Topic di Peppino unito (Peppino, Peppino... fai una benedetta ricerca...  ;)  ).

Offline Peppino

  • Post: 1068
Re:GMail, dal 9 novembre autenticazione a due fattori obbligatoria
« Risposta #13 il: 06 Dicembre 2021 09:38:05 »
Mi sa che mi toccherà usare l'opzione di inoltro su un altro account perchè, per tutti i motivi già discussi tempo addietro,  NON voglio nel modo più assoluto aggiornare il mio TB per avere l'autenticazione  OAuth2.
Comunque io rimango sempre del parere che le cose imposte siano come la corrazzata potemkin.........un gran c.......   
Un utente deve essere lasciato libero di usare o meno determinate funzioni. Una volta che è stato informato dei rischi a cui può andare incontro se non utilizza i prodotti più aggiornati, la cosa finisce lì.
Nel caso specifico Google poteva tranquillamente andare avanti come ha fatto finora semplicemente mettendo per default l'autenticazione doppia ma lasciando la possibilità, a proprio rischio e pericolo, di non utilizzarla. 

Offline deckard

  • Post: 3332
Re:GMail, dal 9 novembre autenticazione a due fattori obbligatoria
« Risposta #14 il: 06 Dicembre 2021 15:11:45 »
Primo, si tratta della corzzata Kotionkim, sia preciso per favore!  8)
Secondo, è stata definita una ... ata pazzesca...  :lol:
Terzo, anche le attuali versioni di Thunderbird sono supportate per l'autenticazione a due fattori e per funzionare con autenticazione OAuth2.
Quarto, l'autenticazione a più fattori o c'è o non c'è, semmai se il programma non la supporta sta al provider decidere se dare la possibilità di creare password specifiche per le app. Google ha capito che gli utenti che avevano abilitato la funzione erano una minoranza e ciò è potenzialmente pericoloso. Non è solo una “fisima” il suo voler spingere sull'adozione di questo sistema...
Quinto, completare un secondo passaggio sul telefono da tenere a portata di mano quando si accede è solo una delle possibilità e ci sono anche altre opzioni per il secondo passaggio per verificare la propria identità.

0 Utenti e 1 Visitatore stanno visualizzando questo topic.