Dalla Navigazione Sicura potenziata al programma Protezione Avanzata con token per accedere alla posta: nuovi strumenti di sicurezza per i prodotti Google.

checkmail

Esiste una minoranza trascurata di utenti che è esposta a un alto rischio di attacchi mirati online: per questo Google ha pensato a una versione “Fort Knox” della sua casella di posta. In occasione del Mese della Sicurezza Informatica poi, The Big G mette a disposizione una serie di strumenti per proteggere i propri account.

Tanto per cominciare, è in fase di rilascio una nuova versione del Controllo Sicurezza, che ora fornisce una guida personalizzata: il Security Checkup sarà creato su misura. Un segno di spunta verde indicherà se il profilo risulta ben protetto, mentre un punto esclamativo giallo o rosso vuole evidenziare che c’è almeno un punto da risolvere in termini di livelli di protezione (quanti passaggi di sicurezza sono attivati? Quali app accedono ai dati?).

Per quanto riguarda la navigazione, Google sta testando nuovi metodi di rilevazione del phishing su Chrome: “Navigazione Sicura ha aiutato a proteggere gli utenti Chrome da attacchi phishing per oltre 10 anni, e adesso
aiuta a proteggere più di 3 miliardi di dispositivi ogni giorno“, spiega l’azienda.

Presto, quando inserite il vostro username e password di Google in un sito che si sospetta possa contenere del phishing, saranno aggiunte ulteriori protezioni per assicurarvi che l’account non sia compromesso. Queste protezioni entreranno in funzione anche se userete un browser differente.

È nei piani anche di estendere questa protezione preventiva a tutte le altre password che salvate su password manager in Chrome, e di consentire lo stesso ad altre app o browser che usano la tecnologia della Navigazione Sicura, come Safari, Firefox e Snapchat.

Come spiega in un post ufficiale, sarà attivato il programma Protezione Avanzata pensato per coloro che sono esposti a particolari rischi, come chi lavora in politica, giornalisti o attivisti, e altri soggetti più vulnerabili. Il sistema è pensato per essere una fortezza e non consentire eccezioni in termini di deroghe alla sicurezza (neanche per i proprietari dell’account).

Si gioca tutto sull’autenticazione a due fattori, ma questa volta, attraverso dispositivi fisici. La registrazione via desktop richiederà una chiave USB o piccoli dispositivi wireless per l’accesso da mobile. “Protezione Avanzata si avvale dell’utilizzo dei Token di sicurezza per accedere al vostro account e bloccherà automaticamente qualsiasi tentativo di accesso effettuato senza l’utilizzo dei vostri Token di sicurezza, anche se qualcuno ha rubato la vostra password”: chi non li possiede, è perduto.

A servizi e applicazioni non ritenute attendibili sarà impedito di raggiungere automaticamente Gmail o Drive, mentre gli scanner per i malware di Google utilizzeranno un processo più accurato per mettere in quarantena e analizzare i documenti in arrivo.

Le chiavi Universal Second Factor (o chiavi U2F) rappresentano il cambiamento maggiore in termini di abitudini per l’utente, anche se probabilmente chi si ritiene un obiettivo sensibile già procede seguendo protocolli particolari. I dispositivi dovranno essere acquistati dai proprietari degli account (vanno dai 20 ai 25 dollari), e andranno bene tutti quelli approvati da FIDO, un gruppo che gestisce i protocolli di identità e di autenticazione.

Riconquistare l’accesso se si dimentica la password o, peggio, si perdono le chiavi, saranno necessari una serie di passaggi non da poco. “Un altro modo molto comune che utilizzano gli hacker per accedere ai vostri account – spiega Google – è quello di far finta di essere i titolari dell’account e affermando di aver dimenticato i dati d’accesso. Verranno messi in atto ulteriori passaggi per aiutarvi a prevenire questo tipo di azioni durante il processo per il recupero dei dati – comprese revisioni aggiuntive e la richiesta di maggiori informazioni in merito a come avete fatto a perdere i dati d’accesso”. Per non perdere tempo in caso di necessità, e non rischiare di lasciare fuori i titolari reali dell’account, Protezione Avanzata chiederà registrare un ulteriore Token di Sicurezza di backup prima che possiate registrarvi.

Fonte: Wired.it