Prima cosa: fornire a Google il numero di telefono come numero di telefono di contatto, anche per “fini di sicurezza generici” è diverso dall'impostare un numero di telefono per ricevere i codici utili all'autenticazione multifattoriale. Sono due dati che vengono gestiti in maniera completamente diversa.
Account => Informazioni personali => Informazioni di contatto: Telefono
Questa opzione può servire per gestire l'account se fosse inattivo per un periodo che va da 3 mesi a 18 mesi, se il proprietario accetta di essere contattato per dire, ad esempio: “Ho trovato lavoro come operaio all'ortomercato, lavoro 16 ore al giorno e non ho tempo per le e-mail”...
Fornire questa informazione può avere dei vantaggi primari e secondari, anche se potrebbe sembrare come una cosa contraria alla tutela della propria privacy, e forse qualche ottima ragione per pensarlo c'è.
Account => Sicurezza => Accesso a Google => Verifica in due passaggi => Inserire password =>
Aggiungi altre opzioni per il secondo passaggio per verificare la tua identità
Configura passaggi di backup aggiuntivi per accedere anche se le tue altre opzioni non sono disponibili.
Messaggio di testo o vocale
Ricevi i codici tramite SMS o telefonata.
Telefonate ed SMS sono dei mezzi insicuri per ricevere i codici, e non sono io ad affermarlo, ma vari esperti del settore.
Un cellulare può essere clonato. La SIM può essere oggetto di SIM Swapping. Oppure gli SMS potrebbero essere intercettati tramite una vulnerabilità SS7:
https://it.wikipedia.org/wiki/Signaling_System_7 Le soluzioni che io raccomando sono i
Token Hardware e una app di autenticazione come Google Authenticator, Authy, Microsoft Authenticator e altre app in grado di generare codici OTP.
Se si prevedono quattro possibili modi in cui qualcosa può andare male, e si prevengono, immediatamente se ne rivelerà un quinto, okay, ma:
1) e 2) il token hardware è di piccole dimensioni (ancora minori rispetto a quelle di una chiavetta USB) e non richiede carica
3) la app di autenticazione per generare i codici OTP non richiede connessione telefonica o dati
4) quando si porta il telefono in assistenza si verifica attentamente che il centro tecnico sia affidabile. Comunque c'è e la possibilità di adoperare dei metodi di riserva per accedere
5) e 6) se il telefono è stato sottratto può essere riportato da remoto alle impostazioni di fabbrica o essere addirittura “mattonato”
E questo riguarda il fatto che se si accede a Google l'azienda invia un messaggio al dispositivo (nel senso che appare un popup che chiede di confermare l'accesso) e se questo è in mano al ladro criminale informatico codesta persona dirà: certo che sono io ad accedere, ti do il permesso io di mostrarmi i contenuti delle email... motivo in più per riportare alle impostazioni di fabbrica o “mattonare” un dispositivo perso o rubato (oltre al cambiare varie credenziali d'accesso)...
https://support.google.com/accounts/answer/7026266?hl=itIo osteggio l'uso del telefono perché tale strumento è insicuro e pericoloso in questo caso. E questo costituisce una motivazione in più per tenere al sicuro e separatamente sia i dispositivi con i quali s'è fatto l'accesso a Google e le credenziali di Google eper impostare una valida schermata di blocco sui propri dispositivi.
Nulla è improbabile: il problema non è il se, ma il quando certe cose potrebbero accadere ed è la ragione dietro al motto dei Boyscout, pardon Vangelo di Matteo: Estote Parati.
O per dirla diversamente la paranoia è una virtù e bisogna chiedersi se si è abbastanza paranoici per affrontare la vita con sufficiente preparazione perché nella vitaci sono tre parametri: la preparazione, l'impreparazione e l'imponderabile...
Topic: GMail, dal 9 novembre autenticazione a due fattori obbligatoria (Letto 14079 volte)