Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

Security Key FIDO U2F e Google Account: il test di HDblog.it | Video

29 Ottobre 2014 47

Rimani aggiornato quotidianamente sui video, approfondimenti e recensioni di HDblog. Iscriviti ora al canale Youtube, basta un Click!

Alcuni giorni fa Google ha annunciato il supporto dei suoi servizi a Security Key, un sistema di autenticazione basato su chiavette USB compatibili con lo standard FIDO U2F. Abbiamo ordinato una di queste chiavette e adesso possiamo darvi maggiori dettagli. In breve, su qualsiasi PC con browser Chrome (dalla versione 38 in poi), è possibile utilizzare queste speciali chiavi USB per completare l'autenticazione a 2 fattori.

La procedura è questa:

  • si acquista una chiavetta FIDO compatibile;
  • si segue la procedura guidata per associarla al nostro account Google;
  • si inserisce la chiavetta nella porta USB del PC quando richiesto, ovvero dopo aver inserito la nostra password.

Tutto qua. Bastano 5 minuti per iniziare ad usarla. Security Key si usa in alternativa alla verifica tramite codice SMS e può essere sostituita proprio da questa quando non è con noi. Ogni chiavetta FIDO U2F può essere associata a più account Google, e può essere utilizzata anche per autenticarsi su altri servizi online, non solo Gmail, Youtube o via dicendo. Trovate la lista aggiornata qui.

Non funziona, almeno in via ufficiale, per autenticarsi alle Google Apps, e non può essere usata nei tablet e smartphone Android dotati di USB a grandezza standard; non funziona nemmeno con un adattatore microUSB OTG, anche se impostare la modalità desktop ad un Chrome su tablet Android fa comunque comparire la richiesta di inserimento del token USB. Il tutto, ad ogni modo, non si conclude. Bene su Chromebook e tutto ok su Mac, Windows e una derivata di Ubuntu. Google mette a disposizione del codice di esempio e riferimento su github.

Per il test abbiamo scelto la FIDO U2F Security Key di Plug-UP, la più economica tra quelle ora disponibili, in vendita su amazon per 6 euro. È un prodotto francese che vi arriva in pochi giorni con una comune spedizione postale. È basata sul chip ST23YT66, e come ogni altro dispositivo simile, usa una ROM pre-programmata che non necessita di setup o inizializzazioni. Nel caso di Google, basta registrarla seguendo la procedura indicata dall'azienda.

Security Key offre un grado di protezione maggiore del PIN via SMS e questo perché non richiede la vostra interazione per l'inserimento del codice (che potreste, in condizioni particolari, inserire in un sito che non è quello che dice di essere - phishing). Inoltre è un dispositivo passivo, che non deve essere tenuto carico (come uno smartphone) per funzionare.


E se la rubano?

Ma cosa succede se viene smarrita? Google ha messo online una pagina dedicata alle FAQ come questa. Nel caso di smarrimento, basta cancellare l'abbinamento con l'account Google fatto al momento del setup per renderla inutile. Il problema nasce quando chi è in possesso della nostra Security Key conosce anche la nostra password, ma anche in questo caso si può entrare con il PIN via SMS e poi cancellare il Token (o cambiare password).

L'autenticazione a due fattori non è certo una novità per molti di noi, ma l'idea di usare una doppia password non è ancora lo standard. Soluzioni come questa aiutano a diffondere la consapevolezza di una sicurezza che non deve mai abbassare la guardia e ci avvicinano al giorno in cui sarà obbligatorio usare strumenti simili per il login alle cose più importanti - proprio come si fa adesso con l'home banking - anche in ambienti comuni, non-enterprise. Ora bisogna attendere il supporto a Security Key per i servizi di pagamento (Paypal, Samsung e altri sono già al lavoro) e lo sviluppo di soluzioni simili che sfruttino NFC o Bluetooth.



47

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
integrator system

si

integrator system

alla chiavetta si abbina un solo account? o la posso usare con tutti quelli che ho?

Francesco Celadini

i contatti esposti sono anche nella versione più costosa con il tocco
ma sembra molto più resistente

Francesco Celadini

adesso anche questa è disponibile in italia, appena comprata

Francesco Celadini

in via di estinzione molto probabilmente ma solo se ci sarà qualcosa di migliore, vedere film su un tablet per ora non è fattibile e avere tv in ogni stanza ancora meno
per ora convengono i pc per i molteplici usi poi si vedrà
sicuramente sarebbe più comodo vedere i film da letto con gli occhialini ma perderesti quella cosa che può essere il vedere i film in compagnia etc etc
ce ne sarebbe da discutere per giorni interi
(probabilmente ho messo chili di errori grammaticali però considerata la mia febbre e il mal di testa non ho intenzione di correggere nulla)

Fulvio Vigilante

Hai ragione non avevo letto ;) comunque ordinata per l'uffico ;)

Riccardo P

Sì, per Google sì, serve Chrome 38.

Riccardo P

No, è scritto anche nel testo: "Non funziona, almeno in via ufficiale, per autenticarsi alle Google Apps, e non può essere usata nei tablet e smartphone Android dotati di USB a grandezza standard; non funziona nemmeno con un adattatore microUSB OTG, anche se impostare la modalità desktop ad un Chrome su tablet Android fa comunque comparire la richiesta di inserimento del token USB"

Fulvio Vigilante

Pratico no, ma se funziona permetterebbe di connettersi anche in mobilità in sicurezza.

L0cutus

Sarebbe un esercizio interessante ma di certo non propriamente pratico...

Fulvio Vigilante

Ma se la connetto ad un device tramite cavo OTG non funziona?

L0cutus

che sia utilizzabile anche con LASTPASS ?

L0cutus

me lo sono comprato pure io, vedremo la praticita'...

Emanuele La Daga

è una domanda che mi stavo ponendo proprio adesso, poichè la vorrei acquistare

sanietto

si ma appena metti la chiavetta rileva pure che computer usi...troppo troppo ficcanaso googluisti

MacLo

onestamente quel paragrafo mi era sfuggito.. :D

Antimo

Funziona solo con chrome?

sanietto

ti rintracciano l'ip e arriva una squadra della c.i.a. a arrestarti ti schiaffa in una cella,e indovina?butta via la chiave

takaya todoroki

grazie, è un oggetto che mi attira e il costo è simbolico, solo mi lascia perplesso il fatto che in pratica si usa solo sui PC (che volenti o nolenti sono una tipologia di device in lenta via di estinzione)

Nicola Pace

onestamente per quanto costa è un'idea geniale...averla è un vantaggio non da poco..ne valuterò a breve l'acquisto...

Riccardo P

La chiavetta è più sicura, il pin è più comodo, ma se ti trovi spesso a loggarti su macchine diverse, se usi pc di altri o se non ti fidi del sistemista del tuo ufficio, credo che puoi spendere 6€ per questa, no? E comunque non è solo per il login Google.

Riccardo P

Al contrario, con questa eviti di inserire il tuo cellulare nel loro db.

Riccardo P

Non l'hai letto l'articolo, ve'?

MacLo

Se si perde la chiavetta, che si fa?

Bort

non so...6€ per un pezzetto di plastica a me sembrano davvero tanti!

asd555

Ops, hai ragione! Pardon!

Luigiantonio Calò

Io ho capito cos'e'... la mia risposta era all'affermazione di mtmattia: "...colleghi la chiavetta e lui automaticamente imposta username e password..."

asd555

Ma in ogni caso devono sapere indirizzo e password, questo oggetto funge da sostituzione della verifica via SMS o Google Authenticator... Forse non hai ben capito la sua funzione.

franzo87

tipo che hai comprato la chiavetta?
gomblotto

lukk

davvero interessante, cmq è un piacere seguire le tue recensioni, davvero bravo!

takaya todoroki

lato privacy, dà modo a Google di sapere qualcosa in più di te (a parte il fatto che la stai usando che è ovvio)?

_M[4]uR[1]n[0]_

Effettivamente.. Beh, comunque per quel che costa, non potevano certo venderci una chiavetta in alluminio!

Luigiantonio Calò

ma infatti credo che quella linguetta arancione sia li' proprio per coprire i contatti...

Riccardo P

È plastica sufficientemente dura. Il problema è nei contatti esposti, non nel materiale.

Riccardo P

La differenza è che questa a) non si scarica, non richiede un 2° dispositivo b) esclude il phishing c) può essere data a terzi per permettere il login su un account unico.

Luigiantonio Calò

cosi' se la perdi ti entrano nell'account e addio security!

Matteo

Che bella la tecnologia!

_M[4]uR[1]n[0]_

E di che materiale è fatta? Perché a vista sembra potersi piegare con la forza del pensiero :S

mtmattia

l'avrei preferita come accesso istantaneo, colleghi la chiavetta e lui automaticamente imposta username e password, se la smarrisci e si collegano per modificare la pass, basta mettere il blocco con il pin da telefono sulle modifiche. Così diventa più semplice utilizzarla, altrimenti non c'è differenza tra questa e il telefono.

alpharomeo1

Si sicuramente, se hai fretta puoi acquistarla lo stesso anche dagli Amazon store esteri a qualche € in più di spedizione.

mtmattia

sembra la plastica dura delle SIM

Mickz

Grazie. Se è presente negli altri confido che tra un po' arrivi anche nel .it

alpharomeo1

Purtroppo su Amazon(.it) no c'è solo questa presentata nell'articolo. Però su Amazon(.de, .fr, .es ecc) ce ne sono anche altri tipi , anche con il pulsantino.

alpharomeo1

Ottimo articolo come sempre, speriamo che altri big adottino questo tipo di sicurezza aggiuntiva.

Mickz

bell'articolo e videorecensione. Dato che vorrei usarla con il portachiavi, ci sono modelli più resistenti?

Riccardo P

No.

_M[4]uR[1]n[0]_

Ma è fatta di cartone? XD

Recensione e Riprova Google Pixel Buds Pro, rinate con l'aggiornamento

24H con Oppo Find N2 Flip, la sfida a Samsung è servita | VIDEO

Abbiamo provato i nuovi Galaxy Z Fold4 e Z Flip4, ecco le novità! | VIDEO

Copertura 5G, a che punto siamo davvero? La nostra esperienza in città