Navigaweb.net logo

Account a rischio e i servizi dove attivare la doppia verifica

Aggiornato il: Scritto Da: - @pomhey
Come attivare l'autenticazione a due fattori o due passaggi su tutti gli account dei siti web di questa lista, come doppia verifica
verifica in due passaggi account

Immaginate di svegliarsi una mattina e scoprire che non si riesce più a entrare nella propria email. Provate a resettare la password, ma scoprite che anche quella è stata cambiata. In pochi minuti, chi ha preso il controllo del profilo ha iniziato a chiedere soldi agli amici sui social o, peggio, ha avuto accesso ai dati della banca. È successo a molti, e la cosa più spaventosa è che spesso non è colpa di una password troppo semplice. Molte volte i dati vengono rubati da un sito secondario dove avevamo usato la stessa password per anni, aprendo un varco che i malintenzionati sfruttano per entrare ovunque.


LEGGI ANCHE: Come creare e gestire password degli account web

Perché affidarsi agli SMS è diventato rischioso

Per molto tempo ci hanno detto che ricevere un codice via SMS era il modo migliore per stare tranquilli. In realtà, oggi è un po' come mettere una serratura economica a una porta blindata. Esiste una tecnica chiamata SIM swapping che funziona in modo quasi banale. Un truffatore contatta l'operatore telefonico fingendo di essere voi, dice di aver perso la scheda e ne chiede un duplicato.

Una volta ottenuta la nuova SIM, tutti i vostri messaggi di conferma arrivano sul telefono del malintenzionato. È come se qualcuno riuscisse a convincere il postino a consegnare tutta la vostra posta a un altro indirizzo. Per questo motivo, per i servizi che contengono dati sensibili, l'SMS non è più una difesa sufficiente.

Le app per generare codici che fanno la differenza

La soluzione migliore è spostare la generazione dei codici all'interno di app che lavorano offline. Invece di aspettare un messaggio che viaggia nella rete, l'app crea un numero che cambia ogni trenta secondi basandosi su una chiave condivisa tra il sito e il vostro telefono. Se il telefono non è connesso a internet, il codice funziona comunque.

Una scelta eccellente per chi vuole un sistema moderno e aperto è Ente Auth. È un'app che permette di tenere i codici sincronizzati su più dispositivi in modo cifrato, così non si rischia di perdere tutto se lo smartphone finisce in un lavandino o viene rubato.

Per chi usa Android e preferisce che i propri dati non tocchino mai un server cloud, la soluzione ideale è Aegis Authenticator. Qui si segue la rotta di Navigaweb suggerendo di preferire strumenti che permettono l'esportazione manuale di un file di backup protetto da password, dando all'utente il controllo totale senza dipendere da un account aziendale.

Ovviamente esistono anche le opzioni più diffuse come Google Authenticator o Microsoft Authenticator. Vanno bene per l'utente medio, ma legano l'identità digitale in modo molto stretto ai rispettivi ecosistemi, rendendo a volte più complicato il passaggio a un altro servizio in futuro.

Quali account proteggere per primi

Non ha senso perdere ore a blindare ogni singolo sito di scommesse o forum di cucina. Bisogna concentrarsi sui centri di comando, ovvero quei profili che se cadono, trascinano giù tutto il resto.

L'email principale è il punto più vulnerabile. Quasi ogni servizio online permette di resettare la password tramite un link inviato via posta. Se un malintenzionato entra nell'email, ha virtualmente le chiavi di ogni altro account collegato. È il primo posto dove attivare la doppia verifica.

I gestori di password e il cloud sono i secondi nella lista. Se usiamo servizi come Bitwarden o Dropbox per conservare scansioni di documenti, contratti o altre password, l'accesso deve essere blindato. Entrare in questi spazi senza un secondo controllo sarebbe come lasciare la cassaforte aperta in mezzo al salotto.

I servizi di pagamento e shopping, come PayPal o Amazon, meritano un'attenzione particolare. Qui il rischio non è solo il furto di dati, ma il prelievo immediato di denaro o l'acquisto di prodotti a nome nostro.

Come attivare tutto senza fare errori

Configurare questi sistemi è semplice, ma bisogna farlo con ordine per evitare di trovarsi chiusi fuori dai propri account.

  • Installare l'app scelta sul telefono e verificare che funzioni.
  • Entrare nelle impostazioni di sicurezza del sito (es. Gmail o Amazon) e cercare la voce Verifica in due passaggi o 2FA.
  • Scegliere l'opzione App di autenticazione. A questo punto il sito mostrerà un codice QR.
  • Aprire l'app sul telefono, scansionare il QR e attendere che appaia il codice di sei cifre.
  • Inserire quel codice sul sito per confermare che tutto sia collegato correttamente.
  • Passaggio fondamentale: salvare i codici di recupero (backup codes) che il sito fornisce alla fine. Vanno stampati o scritti su un foglio di carta e messi in un cassetto. Se il telefono si rompe e non abbiamo questi codici, recuperare l'account può diventare un incubo burocratico.

Dubbi comuni e dettagli che spesso si dimenticano

  • Il problema del cambio smartphone: se si cambia telefono senza aver fatto un backup dei codici o senza aver usato un'app con sincronizzazione, si rischia di non poter più entrare nei propri profili.
  • Le chiavi fisiche USB: per chi vuole la massima sicurezza possibile esistono chiavi come le YubiKey. Sono piccoli dispositivi che si inseriscono nel PC; l'accesso avviene solo se la chiave è fisicamente presente, rendendo i tentativi di hacking remoti praticamente impossibili.
  • La differenza tra codici e notifiche: alcuni siti chiedono di cliccare "Sì" su una notifica che appare sul telefono. È comodo, ma meno sicuro dei codici numerici, perché espone al rischio del MFA Fatigue, ovvero quando l'hacker invia decine di notifiche finché l'utente, per sfinimento, ne accetta una per errore.
  • La revoca degli accessi: è utile ogni tanto controllare la lista dei dispositivi connessi nei propri account e rimuovere i vecchi computer o i tablet che non si usano più.

diario di bordo di Navigaweb

Se c'è una cosa che ho imparato gestendo decine di problemi informatici è che la pigrizia è la migliore amica dei hacker. Molti pensano che "non succederà a me" finché non succede. Il mio consiglio spassionato è di non aspettare. Dedicate un'ora di tempo questo weekend per blindare l'email e l'account della banca. E per favore, non salvate i codici di recupero in un file chiamato "password.txt" sul desktop del PC: usate la vecchia carta e penna. Sembra preistoria, ma un pezzo di carta in un cassetto non può essere hackerato da un server a migliaia di chilometri di distanza.

LEGGI ANCHE: Su Whatsapp si può attivare la verifica in due passaggi per proteggerlo





Posta un commento


0%