25 Luglio 2018
Alcuni giorni fa Google ha annunciato il supporto dei suoi servizi a Security Key, un sistema di autenticazione basato su chiavette USB compatibili con lo standard FIDO U2F. Abbiamo ordinato una di queste chiavette e adesso possiamo darvi maggiori dettagli. In breve, su qualsiasi PC con browser Chrome (dalla versione 38 in poi), è possibile utilizzare queste speciali chiavi USB per completare l'autenticazione a 2 fattori.
La procedura è questa:
- si acquista una chiavetta FIDO compatibile;
- si segue la procedura guidata per associarla al nostro account Google;
- si inserisce la chiavetta nella porta USB del PC quando richiesto, ovvero dopo aver inserito la nostra password.
Tutto qua. Bastano 5 minuti per iniziare ad usarla. Security Key si usa in alternativa alla verifica tramite codice SMS e può essere sostituita proprio da questa quando non è con noi. Ogni chiavetta FIDO U2F può essere associata a più account Google, e può essere utilizzata anche per autenticarsi su altri servizi online, non solo Gmail, Youtube o via dicendo. Trovate la lista aggiornata qui.
Non funziona, almeno in via ufficiale, per autenticarsi alle Google Apps, e non può essere usata nei tablet e smartphone Android dotati di USB a grandezza standard; non funziona nemmeno con un adattatore microUSB OTG, anche se impostare la modalità desktop ad un Chrome su tablet Android fa comunque comparire la richiesta di inserimento del token USB. Il tutto, ad ogni modo, non si conclude. Bene su Chromebook e tutto ok su Mac, Windows e una derivata di Ubuntu. Google mette a disposizione del codice di esempio e riferimento su github.
Per il test abbiamo scelto la FIDO U2F Security Key di Plug-UP, la più economica tra quelle ora disponibili, in vendita su amazon per 6 euro. È un prodotto francese che vi arriva in pochi giorni con una comune spedizione postale. È basata sul chip ST23YT66, e come ogni altro dispositivo simile, usa una ROM pre-programmata che non necessita di setup o inizializzazioni. Nel caso di Google, basta registrarla seguendo la procedura indicata dall'azienda.
Security Key offre un grado di protezione maggiore del PIN via SMS e questo perché non richiede la vostra interazione per l'inserimento del codice (che potreste, in condizioni particolari, inserire in un sito che non è quello che dice di essere - phishing). Inoltre è un dispositivo passivo, che non deve essere tenuto carico (come uno smartphone) per funzionare.
E se la rubano?
Ma cosa succede se viene smarrita? Google ha messo online una pagina dedicata alle FAQ come questa. Nel caso di smarrimento, basta cancellare l'abbinamento con l'account Google fatto al momento del setup per renderla inutile. Il problema nasce quando chi è in possesso della nostra Security Key conosce anche la nostra password, ma anche in questo caso si può entrare con il PIN via SMS e poi cancellare il Token (o cambiare password).
L'autenticazione a due fattori non è certo una novità per molti di noi, ma l'idea di usare una doppia password non è ancora lo standard. Soluzioni come questa aiutano a diffondere la consapevolezza di una sicurezza che non deve mai abbassare la guardia e ci avvicinano al giorno in cui sarà obbligatorio usare strumenti simili per il login alle cose più importanti - proprio come si fa adesso con l'home banking - anche in ambienti comuni, non-enterprise. Ora bisogna attendere il supporto a Security Key per i servizi di pagamento (Paypal, Samsung e altri sono già al lavoro) e lo sviluppo di soluzioni simili che sfruttino NFC o Bluetooth.
Commenti
si
alla chiavetta si abbina un solo account? o la posso usare con tutti quelli che ho?
i contatti esposti sono anche nella versione più costosa con il tocco
ma sembra molto più resistente
adesso anche questa è disponibile in italia, appena comprata
in via di estinzione molto probabilmente ma solo se ci sarà qualcosa di migliore, vedere film su un tablet per ora non è fattibile e avere tv in ogni stanza ancora meno
per ora convengono i pc per i molteplici usi poi si vedrà
sicuramente sarebbe più comodo vedere i film da letto con gli occhialini ma perderesti quella cosa che può essere il vedere i film in compagnia etc etc
ce ne sarebbe da discutere per giorni interi
(probabilmente ho messo chili di errori grammaticali però considerata la mia febbre e il mal di testa non ho intenzione di correggere nulla)
Hai ragione non avevo letto ;) comunque ordinata per l'uffico ;)
Sì, per Google sì, serve Chrome 38.
No, è scritto anche nel testo: "Non funziona, almeno in via ufficiale, per autenticarsi alle Google Apps, e non può essere usata nei tablet e smartphone Android dotati di USB a grandezza standard; non funziona nemmeno con un adattatore microUSB OTG, anche se impostare la modalità desktop ad un Chrome su tablet Android fa comunque comparire la richiesta di inserimento del token USB"
Pratico no, ma se funziona permetterebbe di connettersi anche in mobilità in sicurezza.
Sarebbe un esercizio interessante ma di certo non propriamente pratico...
Ma se la connetto ad un device tramite cavo OTG non funziona?
che sia utilizzabile anche con LASTPASS ?
me lo sono comprato pure io, vedremo la praticita'...
è una domanda che mi stavo ponendo proprio adesso, poichè la vorrei acquistare
si ma appena metti la chiavetta rileva pure che computer usi...troppo troppo ficcanaso googluisti
onestamente quel paragrafo mi era sfuggito.. :D
Funziona solo con chrome?
ti rintracciano l'ip e arriva una squadra della c.i.a. a arrestarti ti schiaffa in una cella,e indovina?butta via la chiave
grazie, è un oggetto che mi attira e il costo è simbolico, solo mi lascia perplesso il fatto che in pratica si usa solo sui PC (che volenti o nolenti sono una tipologia di device in lenta via di estinzione)
onestamente per quanto costa è un'idea geniale...averla è un vantaggio non da poco..ne valuterò a breve l'acquisto...
La chiavetta è più sicura, il pin è più comodo, ma se ti trovi spesso a loggarti su macchine diverse, se usi pc di altri o se non ti fidi del sistemista del tuo ufficio, credo che puoi spendere 6€ per questa, no? E comunque non è solo per il login Google.
Al contrario, con questa eviti di inserire il tuo cellulare nel loro db.
Non l'hai letto l'articolo, ve'?
Se si perde la chiavetta, che si fa?
non so...6€ per un pezzetto di plastica a me sembrano davvero tanti!
Ops, hai ragione! Pardon!
Io ho capito cos'e'... la mia risposta era all'affermazione di mtmattia: "...colleghi la chiavetta e lui automaticamente imposta username e password..."
Ma in ogni caso devono sapere indirizzo e password, questo oggetto funge da sostituzione della verifica via SMS o Google Authenticator... Forse non hai ben capito la sua funzione.
tipo che hai comprato la chiavetta?
gomblotto
davvero interessante, cmq è un piacere seguire le tue recensioni, davvero bravo!
lato privacy, dà modo a Google di sapere qualcosa in più di te (a parte il fatto che la stai usando che è ovvio)?
Effettivamente.. Beh, comunque per quel che costa, non potevano certo venderci una chiavetta in alluminio!
ma infatti credo che quella linguetta arancione sia li' proprio per coprire i contatti...
È plastica sufficientemente dura. Il problema è nei contatti esposti, non nel materiale.
La differenza è che questa a) non si scarica, non richiede un 2° dispositivo b) esclude il phishing c) può essere data a terzi per permettere il login su un account unico.
cosi' se la perdi ti entrano nell'account e addio security!
Che bella la tecnologia!
E di che materiale è fatta? Perché a vista sembra potersi piegare con la forza del pensiero :S
l'avrei preferita come accesso istantaneo, colleghi la chiavetta e lui automaticamente imposta username e password, se la smarrisci e si collegano per modificare la pass, basta mettere il blocco con il pin da telefono sulle modifiche. Così diventa più semplice utilizzarla, altrimenti non c'è differenza tra questa e il telefono.
Si sicuramente, se hai fretta puoi acquistarla lo stesso anche dagli Amazon store esteri a qualche € in più di spedizione.
sembra la plastica dura delle SIM
Grazie. Se è presente negli altri confido che tra un po' arrivi anche nel .it
Purtroppo su Amazon(.it) no c'è solo questa presentata nell'articolo. Però su Amazon(.de, .fr, .es ecc) ce ne sono anche altri tipi , anche con il pulsantino.
Ottimo articolo come sempre, speriamo che altri big adottino questo tipo di sicurezza aggiuntiva.
bell'articolo e videorecensione. Dato che vorrei usarla con il portachiavi, ci sono modelli più resistenti?
No.
Ma è fatta di cartone? XD