Doppio fattore, poche rogne

Ieri Santino mi ha fatto prendere invidia1, e allora oggi ho abilitato l’autenticazione a due fattori su tutti i servizi che uso che ce l’avessero disponibile.

  • Google
  • Evernote
  • GitHub
  • Dropbox

tutti questi hanno in comune il fatto che utilizzano come generatore di password monouso (OTPG) l’app Authenticator per Android, il che ha reso l’intero setup non più difficile dello scansionare un codice a barre. 15 minuti e ho fatto.

Ho rinunciato per tutto quello che usava qualcosa di proprio come OTPG, tipo Facebook, o solo SMS, tipo Twitter. Fallimenti miserabili. Addirittura Facebook sbagliava il link del codice a barre, chiedendomi di scansionare la famosa “X”.

L’SMS è veramente terribile come secondo canale. La sua ubiquità lo rende spesso il feticismo preferito tra i metodi di fallback, nonostante la totale assenza di integrity e confidentiality. Fortuna che nemmeno l’ubiquità del GSM può battere quella dell’offline

Ad ogni modo 2FA oggi è uno dei migliori esempi di usable security. Ampi margini di miglioramento, dai wizard guidati dei provider, all’integrazione delle Application password per quei software che non possono usufruire di 2FA (dico a te Thunderbird2 ), ma anni luce avanti ad altri sistemi di sicurezza nerd-only.

O forse, boh. Essere passato attraverso la sodomia di settare PGP con subkeys di criptazione revocabili singolarmente, con la master offline, fa sembrare tutto il resto una carezza…

In ogni caso ha ragione lui:

Sicurezza. Facile. Per Tutti. Default. Qualsiasi altra cosa è un fallimento.

  1. Voglio rassicurare che il punto non è: se l’ha fatto Santino, lo possono fare tutti… []
  2. Su Ubuntu, IMAP restituiva un messaggio di risposta del server che conteneva un link al forum di supporto di Google che illustrava come settare la password specifica per il client di posta: ma le notifiche su Ubuntu non sono cliccabili, quindi addio link di approfondimento e buona fortuna se non sai già di tuo che IMAP non può usare 2FA… []