Topic: GMail, dal 9 novembre autenticazione a due fattori obbligatoria

[Peppino]

• Se la APP non supporta il protocollo OAuth2 creo una password specifica per essa

Scusa @deckard magari lo hai anche già spiegato o linkato ma non mi è chiaro dove dovrei impostare la pw specifica. E' una cosa da fare nelle opzioni di Gmail accedendovi via webmail o è una pw da creare sul proprio pc ?

[deckard]

quali sono le altre possibilità di cui parli, che devono però essere riferite al poter usare TB con versioni che non supportano OAuth2 ?

Come ha già scritto @deckard, una possibilità sono le password per applicazione -> https://support.google.com/mail/answer/185833?hl=it (una password creata appositamente per Thunderbird, distinta dalla password normale di Gmail e che funziona senza il secondo fattore).

Bisogna visitare la pagina dell'Account Google (<=Link). La pagina può essere raggiunta anche a partire dalla webmail di Google e bisogna selezionare l'immagine di profilo e cliccare su “Gestisci il tuo Account Google”.

[bibbolo]

Mi aggancio a questa discussione interessante, l'ho letta velocemente quindi necessiterebbe di ulteriori letture.
Non mi è ancora arrivata questa notifica di servizio, evidentemente come è stato detto staranno facendo a scaglioni.

Quindi ricapitolando, anche se non sono sicuro di aver capito bene:

• su TB, almeno nelle versioni recenti, non dovrebbero esserci problemi con OAuth2
• si può in ogni caso disabilitare l'autenticazione a due fattori dalle opzioni (in questo caso allora mi chiedo il senso dell'obbligatorietà)
• si potrà scegliere il numero di telefono oppure una app come authy

È tutto corretto?

Non so per gli altri, ma posso dirti perché a me questa cosa non piace (anche se come ho detto non uso Gmail se non per il Play Store):
* L'autenticazione a 2 fattori mi da l'impressione di un forzatura con la quale rischi di perdere l'accesso al tuo account proprio nel momento in cui potresti averne più bisogno. Ci sono dei palliativi, è vero, ma perdere lo smartphone significa quasi inevitabilmente perdere l'accesso. E se a farlo è Google è ancora peggio. Se perdo l'accesso alla mia banca, vado allo sportello e chiedo un intervento manuale. Ma con un colosso come Google con chi potrei parlare?

Vero, ma è altrettanto vero che l' A2F è sempre una sicurezza in più, chi mi ruba una password deve anche essere riuscito a farmi ad esempio il sim swapping...

* Il 99% degli utenti abiliterà l'A2F utilizzando come secondo fattore il numero di cellulare. Che sarà quindi un altro dato nella ricca collezione di informazioni che Google possiede su di noi. E dato che immagino la gente non abbia decine di schede SIM, quel dato potrà essere usato per ricondurre alla stessa persona account che si era cercato di mantenere separati.

Concordo.

* Esistono come detto dei palliativi come i generatori di token, ma come è ben noto la fortuna di Google è sempre legata al default power.

Non ho capito, puoi spiegarmi meglio questa frase?

* Per di più non c'è alcuna chiarezza nelle procedure e nelle possibilità di azione. Tutto è lasciato in modo confuso e parziale (dark pattern) essenzialmente per far convergere gli utenti sul modello che piace a Google: solo app made in google, solo chrome, tracciamento ossessivo. E mi sembra che ci stiano riuscendo.

Concordo anche qui.


Aggiungo altre due considerazione del massivo data collecting di Big G.
L'ultima mail che ho ricevuto, se non sbaglio proprio ieri sul mio account Google, era proprio quella di conferma del proprio numero di telefono, con oggetto "Contribuisci a rafforzare la sicurezza del tuo Account Google". Questa è una mail periodica, e da una rapida ricerca nel client direi che è la quarta da un anno a questa parte (ammesso che non ne abbia cancellate accidentalmente alcune).
Da qualche tempo, penso lo avrete notato anche voi, sul proprio dispositivo android compare la notifica della conferma dell'età. Anche qui, al netto di eventuali giuste ragioni, è un'altra forzatura a fornire informazioni su di noi (anche se, presumo, si può benissimo inventare una data di nascita fittizia). Qui si legge:

Se non configuri la supervisione o non verifichi di avere l'età minima richiesta per gestire il tuo account entro 14 giorni, il tuo account verrà disattivato e i relativi dati verranno eliminati dopo 30 giorni.

Tuttavia io sono mesi che non ho confermato nulla, continuo ad ignorare quella notifica ma il mio account è ancora attivo... Chi mi sa illuminare su questo?

[miki64]

Grazie del chiarimento, Deckard. 

In quella FAQ devo integrare tutte le informazioni, ma come al solito mi ritrovo con informazioni parziali (dovuti al fatto che Google rende attive le sue novità non in contemporanea per tutti).

Confesso che anche io, rileggendo la relativa FAQ, comincio a capirci poco per cui voglio "risistemarla".

Con quello che cito qui sotto, rispondo (almeno, spero!) anche a Peppino che mi ha scritto in privato.

Creare e utilizzare password per le app

Se si utilizza la verifica in due passaggi e si riceve un messaggio di errore "Password errata" quando si accede, si può provare a utilizzare una password per l'app.
Questa è una cosa da fare nelle opzioni di Gmail, accedendovi via webmail, e non è una password da creare sul proprio PC.

- Visitare la pagina Account Google.
- Selezionare "Sicurezza".
- Nella sezione "Accesso a Google", selezionare "Password per le app". Questa scelta potrebbe richiedere di eseguire l'accesso.
- Se non si ha questa opzione, il motivo potrebbe essere che:
a) la verifica in due passaggi non è stata configurata per il proprio account;
b) la verifica in due passaggi è stata configurata soltanto per i token di sicurezza;
c) il proprio account è un account di lavoro, della scuola o di un'altra organizzazione;
d) l'utente ha attivato la protezione avanzata.
- In basso, scegliere "Seleziona app", poi selezionare l'applicazione utilizzata e poi "Seleziona dispositivo" e selezionare il dispositivo utilizzato, poi far clic su "Genera".
- Seguire le istruzioni per inserire la password per l'app. La password per l'app è il codice di 16 caratteri nella barra gialla sul dispositivo.
- Toccare "Fine".

Suggerimento: nella maggior parte dei casi la password per l'app deve essere inserita soltanto una volta per ogni app o dispositivo, quindi non è necessario memorizzarla.

Come vedete, man mano che trovo un problema me lo annoto, faccio gli screenshot e poi condivido il tutto.
Per quanto scritto sopra (che, ripeto, finirà nella FAQ Thunderbird e GMAIL: il nome utente e password sono giuste, ma GMAIL dice di no alla quale chiedo se ritenete giusto che io cambi il titolo), stavo integrando il tutto ma mi sono trovato questo muro (fare clic per ingrandire l'immagine),



per cui per il momento non saprei come proseguire... 
Comunque, Peppino, appena mi si ripresenterà il problema che hai avuto tu, provvederò ad integrare con gli opportuni screenshot tutta la summenzionata FAQ.

Nel frattempo, mi dite se quello che ho scritto nel testo citato va bene?

Se non si è capito, il mio obiettivo è questo.
1) Utilizzare Gmail.
Il perché è presto detto: purtroppo all'epoca ho fornito a parecchi miei destinatari (banche, gestori telefonici e di energia elettrica o gas, eccetera) il mio recapito Gmail. In alcuni casi potrei anche sostituirlo, in altri mi è impossibile perché i miei destinatari mi hanno automaticamente creato il loro account che si chiama "mionomeaccount@gmail.com",
Voglio utilizzare Gmail anche perché è - purtroppo - un servizio necessario per chi utilizza Android.
E visto che il mondo degli smartphone gira sul sistema operativo Android, non posso rinunciare a Gmail..

2) Utilizzare Thunderbird.
Fin quando mi sarà possibile, utilizzerò Thunderbird anche se Google lo osteggia. Quando non mi sarà più possibile, rinuncerò al mio account Gmail principale, anche se sarà una rogna enorme e non so bene come potrei cavarmela.
Il motivo è semplice.
Adesso, grazie a Thunderbird, IO posseggo la MIA posta e la gestisco come voglio IO.
Se non avessi Thunderbird, Gmail possiederebbe la mia posta e la gestirebbe come vuole lui.

3) Non fornire mai il mio recapito telefonico.
Fin quando mi sarà possibile, non voglio fornire a Google il mio recapito telefonico. Infatti il mio account Gmail principale ce l'ho sì sul mio telefonino, ma non nel browser (che è Firefox, ovviamente!) ma nell'app Gmail, però con un escamotage poiché utilizzo il redirect su un altro account Gmail. Per il momento il trucco sta funzionando bene. 

4) Non utilizzare mai quelle funzioni di Gmail che potrebbero intralciare il buon funzionamento di Thunderbird.
Ecco perché, per esempio, a torto o a ragione sotto "Sicurezza della connessione" (che ho lasciato su SSL/TLS), non ho scelto OAuth2 come "Metodo di autenticazione". 

5) Non utilizzare mai quelle funzioni di Gmail che mi legano mani e piedi all'utilizzo dello smartphone.
Come ho già scritto, ormai il telefonino che contiene *TUTTI* i nostri dati personali (green pass, fotografie, codici, anagrafiche, documenti PDF scaricati, dati biometrici, eccetera) e non oso pensare quando avremo l'urgenza di effettuare un prelievo di denaro contante a uno sportello che cosa accadrà se nel frattempo avremo lo smarphone scarico, senza linea, rotto, perso...
Praticamente è il telefonino a possedere noi, non noi esso... bruttissima cosa, questa!

Grazie a Google, le mie sono cinque esigenze purtroppo stanno diventando l'una in contrasto con l'altra...

Quella FAQ, quindi, credo che dovrà essere rinominata, ampliata e meglio trattata.
È dura combattere contro un gigante come Google... E non sono un paranoico...

[bibbolo]

Concordo con tutti e 5 i punti del tuo "obiettivo" Miki 

[miki64]

E quindi rinunceresti a una casella Gmail a favore di Thunderbird?   
Sono scettico, permettimelo.

[bibbolo]

Se potessi lo farei, purtroppo anche io ho una casella importante a cui non posso rinunciare; in tal caso, se dovesse rendersi necessario, sarò obbligato a utilizzarla solo via webmail (anche perché validi client alternativi e free di Thunderbird, sinceramente non ne conosco).

In generale però concordo sui punti che hai menzionato come linea di pensiero.

[miki64]

in tal caso, se dovesse rendersi necessario, sarò obbligato a utilizzarla solo via webmail

Come me: anche io messo alle strette farei così, ma gestire in webmail la mia casella di posta elettronica è un delirio: finestre di risposta piccole, interfaccia minimalista, mancanza della ricevuta di ritorno, pulsanti scomodi, impossibilità di navigare con le schede tra i vari messaggi aperti... insomma non c'è paragone con Thunderbird... non so come farei!

(anche perché validi client alternativi e free di Thunderbird, sinceramente non ne conosco).

Io nel tempo ho provato Evolution, The Bat!, Foxmail, Mozilla Suite/SeaMonkey, Fossa Mail e Postbox.
Tutti molto, molto validi sotto tanti punti di vista. Alcuni derivati da Thunderbird, uno solo (Mozilla Suite) da cui Thunderbird è derivato.
Orbene, alla fin fine è sempre Thunderbird a vincere alla grande, persino con il tanto conclamato Postbox, suo fork a pagamento.
Davvero non capisco come Mozilla non dedichi più risorse a questo software che potrebbe portarle anche parecchio ritorno economico rispetto a Firefox, tanto che vorrei avere sotto gli occhi una tabella comparativa con le donazioni di Firefox e di Thunderbird nei vari anni.. ma di questo esiste un topic apposta, smetto qui.

Adesso mi sono stancato a provare, terminato Thunderbird (speriamo mai!) non userò nessun altro client... è un po' come Eudora: nel 2021 molti ancora lo rimpiangono, segno che era un formidabile programma avanzato per i suoi tempi.

Parliamoci chiaro: il browser si può sostituire, il client di posta... no. Se gestisci la posta ad un certo livello, ovviamente. Altrimenti uno vale l'altro e quindi pure Autluch (che disprezzo) potrebbe andare bene.

Ma torniamo in topic.
Al punto edit n.3 di questa FAQ ho inserito un'immagine che Deckard mi ha gentilmente inviato e ho rielaborato i passaggi: che cosa ne pensate?

--
- Thunderbird fa tante cose per te. Fai una sola cosa TU per Thunderbird

[Peppino]

Mah !!!!! Sembrava che nel giro di pochi giorni la modifica dell'autenticazione sarebbe stata applicata a tutti gli account Gmail ma ad oggi solo due dei miei sette account ha ricevuto tale modifica. Sarà mica che hanno deciso di soprassedere ??

[next]

Sarà mica che hanno deciso di soprassedere ??

Penso di no 
Procedono con gradualità per non generare picchi di lavoro sui loro server e un assalto al loro supporto. Ma pian piano penso che toccherà a tutti. Forse l'unica eccezione potrebbe essere per gli account associato ad uno smartphone Android... perché se volesse in quel contesto Google avrebbe già un doppio fattore.

[bibbolo]

Ripropongo...

Quindi ricapitolando, anche se non sono sicuro di aver capito bene:

• su TB, almeno nelle versioni recenti, non dovrebbero esserci problemi con OAuth2
• si può in ogni caso disabilitare l'autenticazione a due fattori dalle opzioni (in questo caso allora mi chiedo il senso dell'obbligatorietà)
• si potrà scegliere il numero di telefono oppure una app come authy

È tutto corretto?



Da qualche tempo, penso lo avrete notato anche voi, sul proprio dispositivo android compare la notifica della conferma dell'età. Anche qui, al netto di eventuali giuste ragioni, è un'altra forzatura a fornire informazioni su di noi (anche se, presumo, si può benissimo inventare una data di nascita fittizia). Qui si legge:

Se non configuri la supervisione o non verifichi di avere l'età minima richiesta per gestire il tuo account entro 14 giorni, il tuo account verrà disattivato e i relativi dati verranno eliminati dopo 30 giorni.

Tuttavia io sono mesi che non ho confermato nulla, continuo ad ignorare quella notifica ma il mio account è ancora attivo... Chi mi sa illuminare su questo?

[deckard]

Quindi ricapitolando le supposte sono corrette.

Il discorso sull'età, però, non è, strettamente parlando, un problema di autenticazione, ma di regolamento di Google (derivato anche dal GDPR e da varie altre leggi e regolamentazioni) che richiede un età minima di 13 anni (che non sia stata taroccata inserendo un anno nel passato) o la supervisione dei genitori o facenti funzione o tutori.
Lo scopo nelle intenzioni è di tutelare i minorenni affinché, tra le varie cose, non usufruiscano di contenuti indirizzati a un pubblico adulto.

Se usi una carta di credito, eventuali autorizzazioni temporanee verranno rimborsate completamente. Se usi un documento di identità, Google eliminerà l'immagine dopo aver verificato la tua età.

Cioè non memorizzeranno il numero di carta di credito, la scadenza e il CV2, i pagamenti non verranno effettuati e contabilizzati, e non conserveranno il documento d'identità e i dati in esso contenuti.
Il problema in questo caso potrebbe portare alla true name policy, ma questa è volutamente una parziale fallacia della falsa china.

[miki64]

Se usi una carta di credito, eventuali autorizzazioni temporanee verranno rimborsate completamente. Se usi un documento di identità, Google eliminerà l'immagine dopo aver verificato la tua età.

Ma tu ci credi in questo? 

--
- Miki64 fa tante cose per te. Fai una sola cosa TU per miki64 

[deckard]

Diciamo che non posso giocare la carta del “Siete dei bugiardi e a riprova di ciò vi sta crescendo il naso!!!”
Ogni procedura che prevede la trasmissione di dati sensibili è potenzialmente vulnerabile e suscettibile del fatto che i dati non vengano poi correttamente cancellati, ma non sono in grado di dimostrare i sospetti.

[bibbolo]

Ma al di là di questo anche la "minaccia" di cancellazione dopo tot giorni si è rivelata una balla, e questo la dice lunga. Meglio così eh, possono sempre farlo in qualsiasi momento, ma intanto...