Topic: GMail, dal 9 novembre autenticazione a due fattori obbligatoria

[deckard]

“Lasciate a se stesse, le cose tendono ad andare di male in peggio” e “Per quanto nascosta sia una pecca, la natura riuscirà sempre a scovarla”... Scovarla un venerdì prima di un lungo ponte...

Rimane sempre l'idea che è meglio essere preparati e proattivi, scoprire come funziona l'autenticazione multifattoriale e impostarla manualmente al fine che funzioni con Thunderbird.

POI quando le cose non funzionano di chi è la colpa? Domanda retorica non ve lo sto chiedendo...

[next]

Rimane sempre l'idea che è meglio essere preparati e proattivi

Non so per gli altri, ma posso dirti perché a me questa cosa non piace (anche se come ho detto non uso Gmail se non per il Play Store):
* L'autenticazione a 2 fattori mi da l'impressione di un forzatura con la quale rischi di perdere l'accesso al tuo account proprio nel momento in cui potresti averne più bisogno. Ci sono dei palliativi, è vero, ma perdere lo smartphone significa quasi inevitabilmente perdere l'accesso. E se a farlo è Google è ancora peggio. Se perdo l'accesso alla mia banca, vado allo sportello e chiedo un intervento manuale. Ma con un colosso come Google con chi potrei parlare?
* Il 99% degli utenti abiliterà l'A2F utilizzando come secondo fattore il numero di cellulare. Che sarà quindi un altro dato nella ricca collezione di informazioni che Google possiede su di noi. E dato che immagino la gente non abbia decine di schede SIM, quel dato potrà essere usato per ricondurre alla stessa persona account che si era cercato di mantenere separati.
* Esistono come detto dei palliativi come i generatori di token, ma come è ben noto la fortuna di Google è sempre legata al default power.
* Per di più non c'è alcuna chiarezza nelle procedure e nelle possibilità di azione. Tutto è lasciato in modo confuso e parziale (dark pattern) essenzialmente per far convergere gli utenti sul modello che piace a Google: solo app made in google, solo chrome, tracciamento ossessivo. E mi sembra che ci stiano riuscendo.

[michro]

A me è stata attivata oggi sull'account principale Gmail che utilizzo anche per lo smartphone e di conseguenza per il Play Store.
Su Thunderbird 78.14.0 ho 3 account Gmail e sono tutti configurati come POP3. Metodo di autenticazione OAuth2 che avevo adottato a dicembre 2020 (non ricordo da che versione).
Per uno dei tre account non avevo mai impostato l'email di recupero (ho scelto un altro indirizzo Gmail di quelli che ho), l'ho impostata e mi è arrivata un'email con un codice di verifica di 6 cifre che ho dovuto inserire via Web nel campo in cui veniva richiesto per quell'account Gmail.

Per il momento non sto riscontrando alcun problema con Thunderbird e account(s) Gmail né in ricezione né in invio.

[Peppino]

Ho appena aggiornato TB alla 91.4.0 su un pc che uso come backup di tutti i messaggi inviati da tutti i pc in rete e sul quale non ho nessuna estensione installata, motivo per il quale tengo TB sempre aggiornato e ho visto che anche in POP3 è comparsa l'opzione di autenticazione OAuth2.

[michro]

Sì, su Thunderbird ho attivato l'opzione OAuth2 sui 3 account Gmail POP3.

Edit: questa risposta era per Peppino che chiedeva conferma dell'opzione OAuth2 per POP3 ma poi ha modificato il messaggio eliminando la richiesta di conferma e inserendo il nuovo testo che compare adesso nel suo messaggio

[deckard]

Non so per gli altri, ma posso dirti perché a me questa cosa non piace (anche se come ho detto non uso Gmail se non per il Play Store):
* L'autenticazione a 2 fattori mi da l'impressione di un forzatura con la quale rischi di perdere l'accesso al tuo account proprio nel momento in cui potresti averne più bisogno. Ci sono dei palliativi, è vero, ma perdere lo smartphone significa quasi inevitabilmente perdere l'accesso. E se a farlo è Google è ancora peggio. Se perdo l'accesso alla mia banca, vado allo sportello e chiedo un intervento manuale. Ma con un colosso come Google con chi potrei parlare?

Io non metto in discussione ciò che ti piace oppure no. Ognuno è libero al 123% di decidere se gradire oppure no i cambiamenti.
L'autenticazione a 2 fattori mi da l'impressione di un forzatura con la quale rischi di perdere l'accesso al tuo account proprio nel momento in cui potresti averne più bisogno, vero, ma se non si è stati attenti. Vi sono i codici di backup che ognuno dovrebbe avere sempre con se. Magari in maniera camuffata per non darli in pasto agli acari cattivi cattivi... La soluzione è tra la sedia e la scrivania anche in questo caso. {[(E comunque anche con la banca si rischia di trovare il dipendente che ha lo stesso spirito d'animo mezz'ora prima di uscire per andasene in pensione!!!)]}
Sì, è una forzatura e, sì, ci sono dei possibili imprevisti. Per questo ho consigliato di studiarla per evitare che si manifestassero out of the blue nel momento meno adatto...

* Il 99% degli utenti abiliterà l'A2F utilizzando come secondo fattore il numero di cellulare. Che sarà quindi un altro dato nella ricca collezione di informazioni che Google possiede su di noi. E dato che immagino la gente non abbia decine di schede SIM, quel dato potrà essere usato per ricondurre alla stessa persona account che si era cercato di mantenere separati.

Anche Twitch ha implementato la verifica del numero di cellulare per evitare che io vada a fare il troll o il molestatore nelle conversazioni delle live, magari dicendo che Dante Alighieri vede la montagna del paradiso terrestre e poi incontra Beatrice eccetera mentre stanno ancora pubblicando i primi canti della seconda cantica.
Anche Google stessa offre la possibilità di inserire il numero di cellulare per sapere chi contattare se il mio accaount rimanesse inattivo per tot mesi perché, corna facendo, ho avuto in ictus e cadendo per terra ho urtato il collo contro uno spigolo e rotto irrimedianilmente le prime vertebre cerebrali... e nessuno m'ha portato avanti l'account (e non solo per la sicurezza degli accessi).
Anche altre reti sociali offrono la possibilità di ricevere i codici tramite SMS e chiamata o comunque ricevere il secondo fattore tramite l'uso di un cellulare...

* Esistono come detto dei palliativi come i generatori di token, ma come è ben noto la fortuna di Google è sempre legata al default power.

Esistono anche i token hardware oltre ai generatori di codici OTP. 

* Per di più non c'è alcuna chiarezza nelle procedure e nelle possibilità di azione. Tutto è lasciato in modo confuso e parziale (dark pattern) essenzialmente per far convergere gli utenti sul modello che piace a Google: solo app made in google, solo chrome, tracciamento ossessivo. E mi sembra che ci stiano riuscendo.

Probabile. L'alternativa se non si gradiscono i metodi adoperati da Google e la scarsa chiarezza di informazioni è adoperare una casella di posta elettronica diversa da Gmail e un browser diverso da Chrome, Brave, Vivaldi, Otter Browser, etc
Esistono caseggle di posta elettronica capienti e browser alternativi validi (anche se non sono esattamente come Chrome)... La scelta di un browser non è un matrimonio indissolubile che ci vincola vita natural durante...

[Peppino]

@michro subito dopo avere scritto il messaggio ho fatto l'aggiornamento di cui parlo e avendo verificato che anchio vedevo la famosa autenticazione, ho pensato che fosse del tutto inutile lasciare il  messaggio originale, che non aveva più alcun senso. Pensavo di essere stato abbastanza veloce da evitare che qual'cuno lo leggesse ma a quanto pare tu sei stato più veloce di me. 

[miki64]

Vorrei aggiornare questo articolo https://forum.mozillaitalia.org/index.php?topic=61931.0 includendo tutte le informazioni del present topic, ma non ho ancora le idee chiare su come procedere... forse, come al solito, appena verrò coinvolto io nel problema inizierò a capire meglio tutte le cose. 

[OT]
Brutta cosa, ci stiamo legando mani e piedi ad un telefonino che contiene *TUTTI* i nostri dati personali (green pass, fotografie, codici, anagrafiche, documenti PDF scaricati, dati biometrici, eccetera) e non oso pensare quando avremo l'urgenza di effettuare un prelievo di denaro contante a uno sportello che cosa accadrà se nel frattempo avremo lo smarphone scarico, senza linea, rotto, perso...

Praticamente è il telefonino a possedere noi, non noi esso... bruttissima cosa, questa!

[/OT]
--
- Miki64 fa tante cose per te. Fai una sola cosa TU per miki64 

[Winfox]

La penso come te Miki, in tutto e per tutto.

Leggo in questo topic che 0Auth è possibile anche su Pop, mentre io e altri fino ad oggi dicevamo il contrario.
Sembra che questa possibilità dipende dalla versione di Thuderbird utilizzata, anche se non si è concordi di quale versione si tratti.
Infatti, sebbene sia stato introdotto diverse versioni fa, non tutti lo riscontrano nell'interfaccia del programma.

Io, ad esempio, lo vedo come opzione per il server smtp ma non per i miei account pop.

OT/ Personalmente considero tutto questo accanimento fuori luogo: il protocollo della posta elettronica è molto vecchio e nato insicuro e modificarne il funzionamento il più delle volte significa non farlo funzionare affatto. /OT

[Peppino]

Ed ecco che il fatidico momento è arrivato, speravo di non essere tra i primi a ricevere l'aggiornamento maledetto e invece, per la solita legge di Murphy, tutti i miei account Gmail sono già stati aggiornati.
Però......................................dopo avere fatto tutta la procedura descritta salta fuori che l'autenticazione a due fattori la si può disabilitare, cosa che ovviamente ho fatto immediatamente.
Ora, già il fatto che Gmail abbia alla fine lasciato questa possibilità è una gran cosa, ma mi domando perchè mai non l'abbiano anche comunicata prima. Ma quante " chiacchiere" in meno si sarebbero sprecate sull'argomento ? !!!!

[deckard]

Google non lo ha comunicato in maniera esplicita semplicemente perché non è favorevole a una sua disattivazione.
Google sta cercando di fare in modo che un sempre maggiore numero di gente adotti questa funzionalità come forma di prevenzione degli accessi non autorizzati al proprio account e di base la scelta è anche abbastanza motivata.
Se qualcuno accede al mio account Google senza la mia autorizzazione e poi cambia la password tale persona ha accesso alle mie conversazioni, all'account adoperato per altri servizi (su cui ricevere la mail per ripristinare le credenziali) e via discorrendo e spesso la gente non incolpa se stesso per le proprie imprudenze, ma l'azienda di avere un sistema debole a livello infrastrutturale. (Tralascio il fatto che alcune tipologie d'attacco, qualora messe in atto, possono solo essere mitigate e non facilmente)
L'autenticazione multifattoriale non dovrebbe essere imposta, ma dovrebbe comune essere scelta consapevolmente poiché è molto importante, anche se non è l'unico elemento a tutela della sicurezza del proprio account. Se si fa attenzione si può evitare di rimanere fuori nel momento in cui si ha bisogno di accedere. {[(Personalmente la attiverei su ogni servizio e in alcuni casi non mi iscriverei se non fosse prevista)]}
Google ha spesso delle implementazioni proprie “non completamente corrette” di varie funzionalità e molte scelte sono state fatte pro domo sua, cioè in proprio favore, per il proprio tornaconto, ma pare che la scarsa adozione della autenticazione a due fattori da parte dell'utenza con il risco che gli utenti passino a un altro fornitore poiché non si sentono tutelati in caso di accesso non autorizzato (giuste o no che siano le accuse, non è questo il punto) abbia fatto in modo che Google la rendesse di fatto obbligatoria.

[miki64]

Ed ecco che il fatidico momento è arrivato, speravo di non essere tra i primi a ricevere l'aggiornamento maledetto e invece, per la solita legge di Murphy, tutti i miei account Gmail sono già stati aggiornati.
Però......................................dopo avere fatto tutta la procedura descritta salta fuori che l'autenticazione a due fattori la si può disabilitare, cosa che ovviamente ho fatto immediatamente.

Mannaggia!
Non hai fatto degli screenshot? 

Google non lo ha comunicato in maniera esplicita semplicemente perché non è favorevole a una sua disattivazione.
Google sta cercando di fare in modo che un sempre maggiore numero di gente adotti questa funzionalità come forma di prevenzione degli accessi non autorizzati al proprio account e di base la scelta è anche abbastanza motivata.
Se qualcuno accede al mio account Google senza la mia autorizzazione e poi cambia la password tale persona ha accesso alle mie conversazioni

Posso essere cinico?
Se qualcuno accede al tuo account Google senza la tua autorizzazione e poi cambia la password vuol dire che sei stato uno sprovveduto, hai usato delle password deboli, hai usato le tue credenziali su una rete non sicura, ti sei installato un keylogger e ben ti sta o comunque hai avuto un comportamento tale che te la sei andata a cercare e quindi ben ti sta!

Ovviamente sto parlando di un "qualcuno" al quale tu ti riferisci per esempio, non di te Deckard.
Comprendo che stai immedesimandoti nel ragionamento di Google ed è corretto quello che hai presupposto.

Ma sono stanco che per colpa di una massa di idioti che scelgono "1234" come password o che scelgano di non effettuare mai i backup dei loro dati nella loro vita o che scelgono di non vaccinarsi perché hanno paura di una trombosi, debbano poi patire tutti gli altri, arrivando al punto che per causa loro io debba mettere tutti i miei dati personali su un telefono che mi comanda a bacchetta!

So che non mi fraintenderai. 
Ma in sintesi Google per me poteva lasciar tutto com'era. Sopravviverà il più forte, non il più furbo o il più idiota.
Giustifico solo gli anziani alle prese con i PC (e quelli che non possono vaccinarsi per veri motivi di patologie).
Gli altri, per me, possono solo sbattere la testa contro il muro fino alla fuoriuscita della materia cerebrale (poca): "il mio telefonino è finito in acqua, come faccio adesso con le mie foto e con il mio conto corrente online"?

--
- Thunderbird fa tante cose per te. Fai una sola cosa TU per Thunderbird

[deckard]

«Estote parati» è il motto degli scout, ma è anche una citazione evangelica che significa: siate pronti, tenetevi preparati perché il Figlio dell'uomo verrà nell'ora che non immaginate.

Password deboli, utilizzo di reti informatiche non sicure, keylogger e comportamenti imprudenti sono gli scenari più probabili per spiegare gli accessi non autorizzati, ma la storia ci ha spiegato che ci sono stati vari casi di vulnerabilità, exploit e falle 0day.
Se qualcuno è stato sprovveduto merita disonore su tutta la sua famiglia, disonore su di lui e disonore sulla sua mucca... (Cit.) ma il punto qui non è giustificare chi ha un comportamento disfunzionale e scarsamente strategico. Si tratta di cercare di diminuire la superficie d'attacco e di adottare vari accorgimenti per non essere hackerati e costruirsi un piano di sicurezza (<=Collegamenti). {[(Molti dei concetti presenti sono già espressi qui, lo so...)]} Gli accorgimenti più banali sono quelli immediati e più intuitivi, ma a volte serve un passo in più.

Il punto è, una volta che si è mediamente accorti e prudenti, bisogna anche essere preparati e pronti perché il problema non è se qualcosa di brutto può capitare, ma quando ciò succederà e che cosa si potrà fare per affrontare la situazione.

[Peppino]

@miki64 hai ragione ma non ciò proprio pensato. Comunque a me il tasto di annullamento è comparso dopo che ho fatto tutti i passaggi indicati da Gmail. In pratica ho confermato il numero di cellulare, ho confermato la email di recupero, ho scaricato e stampato ii codici di backup, a quel punto ho visto il pulsante incriminato. Aggiungo una considerazione su questo argomento.
Lasciando attiva l'autenticazione a due fattori, come lo avreste risolto il problema delle email lette sullo smartphone tramite app diverse da Gmail ? Io ad esempio uso da anni, pienamente soddisfatto, l'app K-9 Mail che ovviamente ieri non ha più scaricato nulla fino a che non ho disabilitato l'autenticazione. Mah !!!! ????

[deckard]

Lasciando attiva l'autenticazione a due fattori avrei avuto due possibilità su dispositivi mobili:

• Se la APP supporta il protocollo OAuth2 lo adopero
• Se la APP non supporta il protocollo OAuth2 creo una password specifica per essa

Ma questo è un problema secondario in quanto l'unica versione di Thunderbird che gira su Android è il port di un rilascio nightly attorno alla versione 45, mi sembra. {[(Potrebbero aver fatto qualcosa nel frattempo, ma dubito...)]}
Io ho attivato l'autenticazione a due fattori su Gmail già da tempo e non intendo disattivarla. (Se potessi la attiverei più o meno ovunque, o almeno sui servizi più importanti e delicati)