Cosa succede se uso l’autenticazione a due fattori e perdo il mio telefono?

Posted by admin Articles

L’autenticazione a due fattori è una misura di sicurezza essenziale che utilizza il tuo telefono per prevenire l’accesso non autorizzato al tuo account. Rende più difficile l’accesso al tuo account se perdi il tuo telefono, ma questo è anche un po’ il punto. Per fortuna, non sei senza opzioni se non riesci a trovare l’unico dispositivo che usi per verificare che sei effettivamente tu.

Video recente

Questo browser non supporta l’elemento video.

L’autenticazione a due fattori, per sua natura, è progettata per impedire l’accesso ai tuoi account se non hai accesso al tuo telefono (o altro dispositivo di autenticazione). Pertanto, non ci sono molti modi per aggirare questo requisito dopo il fatto. Tuttavia, ci sono molti modi per evitare che questo problema si verifichi. Quindi non aspettare di perdere il tuo telefono per impostarli.

G/O Media può ottenere una commissione

Avviso

(Se sei attualmente bloccato, puoi saltare avanti all’ultima sezione.)

Se ti stai liberando di proposito del tuo telefono…

Screenshot: David Murphy

Pubblicità

Se sai che stai cambiando telefono, assicurati di passare a un dispositivo diverso per l’autenticazione a due fattori (o nessuno, temporaneamente) prima di liberarti del tuo vecchio telefono. Per un facile accesso, qui ci sono alcuni link a dove puoi cambiare le tue impostazioni a due fattori se lo hai già abilitato per alcuni servizi comuni (o imparare come farlo). Nota, questi link probabilmente funzioneranno solo se sei connesso al tuo account.

  • Google
  • Dropbox
  • Twitter
  • LastPass: Aprire LastPass sul web, cliccare su Impostazioni > Opzioni Multifattore
  • 1Password
  • Discorda
  • Twitch

Il processo varia da servizio a servizio, ma il principio di base è lo stesso. Si installa un’app sul nuovo dispositivo, si scansiona un codice a barre o si inserisce un codice dal sito web in questione, e si conferma di essere in possesso del dispositivo. Nella maggior parte dei casi, i vecchi autenticatori smetteranno di funzionare, quindi assicurati di essere sicuro prima di fare lo scambio.

Avviso

Se usi gli SMS, cambiare telefono non dovrebbe avere importanza. Basta attivare il nuovo telefono e i codici arriveranno al tuo numero di telefono. Se usi un’app di autenticazione (noi raccomandiamo Authy, di cui parleremo tra poco), puoi probabilmente scambiare il tuo dispositivo di autenticazione tramite le impostazioni del tuo account.

Avviso

Scrivi sempre i tuoi codici di backup una tantum

Screenshot: David Murphy

Avviso

Non possiamo sottolinearlo abbastanza. Scrivete i vostri codici di riserva. Se mai dovessi trovarti bloccato fuori dal tuo account per qualsiasi motivo, compreso il fatto che hai dimenticato di disabilitare il tuo autenticatore prima di darlo via (o non hai potuto, se il tuo telefono è stato rubato), i codici di backup sono il modo migliore e più semplice per riottenere l’accesso al tuo account. Puoi quindi impostare un nuovo autenticatore, probabilmente generare nuovi codici di backup, ed essere sicuro come prima.

Hai probabilmente sentito dire che non dovresti scrivere la tua password, ma questi codici monouso sono un’eccezione. Dovresti assolutamente stamparli o scriverli e tenerli in un posto dove puoi trovarli. Idealmente, dovrebbero essere separati dal tuo telefono, magari in una scatola ignifuga o in una cassaforte con altri importanti documenti cartacei. Non salvarli semplicemente in un documento Word sul tuo portatile, perché se il tuo portatile muore (o viene rubato), sei sfortunato.

Avviso

A differenza dei tuoi codici di autenticazione, questi codici monouso non cambiano. La maggior parte dei siti vi dirà anche quando sono stati usati, o almeno li segnerà dalle liste di codici utilizzabili. Per esempio, Google offre dieci codici di backup. Quando ne usi uno, la lista dei codici scende da dieci a nove (non vengono riempiti immediatamente), e ricevi un’email che dice che il codice è stato usato. Questo significa che anche se qualcuno trova i tuoi codici di backup e li usa per accedere al tuo account, sarebbe difficile per loro farlo senza essere scoperti.

Avviso

Usa un’app di autenticazione di terze parti, come Authy

Avviso

Come abbiamo discusso in precedenza, Authy è un’ottima app per gestire i tuoi account a due fattori su iPhone, Android e anche sul tuo computer. Non solo questo ti dà un dispositivo “di backup” nel caso in cui perdi il tuo telefono, poiché i tuoi token si sincronizzano tra i vari dispositivi, ma rende anche molto facile migrare i tuoi token da un dispositivo all’altro (ad esempio, se stai acquistando un nuovo telefono). Basta sincronizzare il nuovo dispositivo e disautorizzare quello vecchio.

Pubblicità

Per impostare i token sincronizzati sui tuoi dispositivi, dovrai prima impostare Authy come app primaria di autenticazione a due fattori. Se attualmente stai usando Google Authenticator o un’altra app per ottenere i tuoi codici, dovrai passare attraverso i tuoi account e impostare Authy, probabilmente utilizzando un codice QR che dovrai scansionare, come se stessi passando a un nuovo dispositivo. Poi, segui questi passi per sincronizzare Authy su un secondo dispositivo:

  1. Apri le impostazioni in Authy sul tuo dispositivo principale e tocca Dispositivi.
  2. Abilita “Consenti Multi-dispositivo.”
  3. Sul tuo secondo dispositivo, installa Authy.
  4. Quando apri per la prima volta l’applicazione, ti chiederà un numero di telefono. Inserisci il numero di telefono del tuo dispositivo principale.
  5. Nel popup che dice “Get Account Verification Via”, tocca “Use Existing Device.”
  6. Sul tuo dispositivo principale riceverai una notifica che ti chiede di verificare l’aggiunta di un nuovo dispositivo. Tocca “Accetta.”
  7. Inserisci “OK” nella casella che ti chiede di approvare questa decisione.
  8. Torna a Impostazioni sul tuo dispositivo principale e tocca nuovamente “Dispositivi”.
  9. Disabilita “Consenti multidispositivo”. Questo impedisce l’aggiunta di ulteriori dispositivi, mentre i dispositivi connessi esistenti rimangono attivi.

Avviso

È anche una buona idea abilitare un codice PIN (o un blocco dell’impronta digitale/faccia) per tutti i dispositivi che hai collegato ad Authy (è necessario farlo per ogni dispositivo individualmente in Mio Account > Sicurezza). In questo modo, anche se qualcuno ha accesso fisico al tuo dispositivo, è più difficile per loro vedere i tuoi codici.

Screenshot: David Murphy

Pubblicità

Per coloro che sono preoccupati per la sicurezza di questo metodo: tutti i tuoi token di autenticazione sono criptati localmente (usando una password complessa, non il PIN a quattro cifre che protegge l’app stessa), quindi né i server di Authy, né qualsiasi terzo curioso lungo la strada dovrebbe essere in grado di accedere ai token.

Pubblicità

Ottieni un telefono sostitutivo per codici di autenticazione SMS di backup

Pubblicità

Mentre alcuni metodi di autenticazione richiedono una app, quasi tutti offrono almeno l’uso di un codice SMS come opzione di backup. Non è una soluzione sicura come un’app di autenticazione dedicata o un token hardware, ma se perdi il tuo telefono, ottenere un dispositivo di backup e attivarlo con il tuo operatore ti permetterà di inviare messaggi di testo al numero di telefono collegato al tuo account.

Lo svantaggio? I messaggi di testo sono molto più hackerabili anche se qualcuno non ha accesso al tuo dispositivo, incluso il temuto attacco sim-swap. Naturalmente, un aggressore avrà anche bisogno della vostra password per fare qualsiasi cosa con un account specifico, ma l’autenticazione basata sul testo rimane un metodo meno sicuro dell’autenticazione a due fattori, dal momento che questa richiede di avere accesso fisico al vostro dispositivo di autenticazione per entrare nei vostri account.

Avviso

Cosa fare se vieni bloccato (e non ti sei preparato)

Screenshot: David Murphy

Pubblicità

Mentre hai diversi modi per prepararti al peggio, le cose accadono. Il tuo telefono è caduto in un pozzo, hai perso la tua nota adesiva con i codici di backup, e oggi è il giorno in cui il tuo account Google ti ha chiesto di verificare nuovamente. Sfortuna.

A volte puoi ancora chiamare o mandare un messaggio alla società che gestisce il servizio a cui stai cercando di accedere. La cattiva notizia è che un processo di recupero dell’account può spesso richiedere diversi giorni lavorativi per essere risolto, presumendo che l’azienda possa farlo. Altre aziende (come Discord) ti diranno che se le opzioni di backup falliscono, non saranno in grado di fornirti l’accesso al tuo account. Dovrai iniziare un nuovo account, che non è una soluzione ideale.

Avviso

Questo è il motivo per cui è importante rimanere in cima alle tue opzioni di backup. Tuttavia, nel caso in cui accada il peggio, ecco alcuni link con informazioni su come (o se) è possibile ottenere l’accesso al tuo account indietro per vari servizi:

  • Google
  • Dropbox
  • Twitter
  • LastPass
  • 1Password

Come sempre, un po’ di prevenzione vale la pena per la fatica e il dolore di cercare di recuperare l’accesso a tutti i tuoi account critici dopo aver perso il dispositivo di autenticazione.

Pubblicità

Questa storia è stata originariamente pubblicata il 19/12/14 ed è stata aggiornata con informazioni più attuali il 18/10/19.

Pubblicità

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.