Dropbox e l’autenticazione multifattoriale

Anche su Dropbox è disponibile la 2-step verification, che aggiunge un livello di sicurezza al nostro account.

La schermata di attivazione del servizio "Two-step verification"

Come già presente per Google e LastPass, anche Dropbox ha attivato l’autenticazione multifattoriale, anche se per ora in via sperimentale ma accessibile a chiunque voglia implementarla. Si tratta in sostanza di inserire — oltre la password — anche un’ulteriore piccola serie numerica di sei cifre, generata da un’applicazione installata sullo smartphone o inviata da Dropbox stessa al proprio telefonino tramite SMS. Io, ovviamente, ho attivato il servizio e vi dico che funziona, comprese le applicazioni del mio PlayBook che usano Dropbox.

Per attivarlo va installata la versione sperimentale di Dropbox (la 1.5.12, al momento) che trovate nel forum e quindi seguire le brevi istruzioni contenute nel post: niente di complicato. Una volta attivato il servizio, per entrare nel vostro account Dropbox tramite il browser o tramite l’applicazione ufficiale (quella che risiede nel vostro vassoio di sistema) dovrete inserire due password: quella solita + quella aggiuntiva (detta anche “Security code”). La password aggiuntiva, come già detto, può essere inviata via SMS oppure generata da voi stessi tramite l’applicazione Google Authenticator, disponibile per tutte le piattaforme di smartphone.

Per far funzionare le app di smartphone e tablet, come il PlayBook che uso, dovrete inserire invece una password specifica. La password specifica non viene generata da voi (come avviene su Google) ma viene richiesta in modo automatico quando l’app chiede di autenticarsi. Siccome la password solita non viene più riconosciuta, Dropbox invia un’email con un invito a visitare un link per avere la password specifica per quell’applicazione. In altre parole, per ogni software che intenda collegarsi all’account Dropbox vi genera automaticamente una password specifica per quell’applicazione.

Avevo letto da qualche parte che il sistema username+password non è più sufficiente al giorno d’oggi…

Autore: Aldo Latino

Aldo Latino usa con entusiasmo Linux nella distribuzione Ubuntu, è un appassionato di WordPress e si diletta a fare il blogger. Ha anche una lista dei desideri. Per altre informazioni visita la sua .

10 pensieri riguardo “Dropbox e l’autenticazione multifattoriale”

  1. “per ogni software che intenda collegarsi all’account, Dropbox vi genera automaticamente una password specifica per quell’applicazione.” Questo aumenta la sicurezza, ma anche la complessità nel gestire e ricordare le password o sbaglio?

    nda

    1. Dici bene. E siccome è fondamentale oggi avere una password diversa per ogni account, diventa necessario avere un gestore di password (KeePass, LastPass, 1Password, un file cifrato, ecc.).

      Comunque, le password specifiche per le applicazioni non vanno conservate (io invece le conservo) perché puoi sempre rigenerarle al bisogno.

      1. Il che mi porta a fare due domande:
        1) e se viene compromesso il gestore di password?
        2) siamo sicuri che le password specifiche per le applicazioni non vengano conservate in modo tale da diminuire la sicurezza complessiva?

        nda

        1. 1) Se viene compromesso, sei nella stessa situazione di quella in cui usi una password comune ad ogni account laddove questa sia stata rubata o scovata.
          La sicurezza di un gestore di password sta in tre fattori: (a) deve utilizzare un algoritmo di cifratura serio; (b) l’utente deve scegliere una master password (meglio se si tratta di una passphrase) “inviolabile” per gli altri ma facile da ricordare per lui; (c) il portachiavi digitale deve essere conservato con cura.Se uno di questi fattori è debole, il sistema ovviamente crolla. Generalmente oggi i sistemi di gestione password utilizzano algoritmi di cifratura forte, per cui il problema sta nell’utente. E se l’utente non ha un minimo di interesse per la sua sicurezza, è meglio che non usi un computer.Infine, se al gestore delle password aggiungi l’autenticazione a due o più fattori, hai davanti un sistema abbastanza sicuro (“pretty good”) che, come concorderai, è più sicuro di un sistema “mono password” comune a tutti gli account, quand’anche questa password sia forte.

          2) Non mi è ben chiaro cosa intendi dire. Comunque le password specifiche per le applicazioni sono nascoste anche all’utente amministratore: non le vedi sul tuo pannello Google e neanche su quello di Dropbox. Se non ti fidi più di una certa applicazione, ti basta revocarne l’accesso dal pannello amministrativo, senza dover cambiare la password su tutte le altre applicazioni che accedono a quel servizio.

          1. 2) intendo dire che all’aumentare delle password specifiche per la gente comune (ovvero il 99% delle persone*) diminuisce la comodità e la capacità di ricordarle (a meno di non utilizzare un gestore di password) e quindi aumenta la possibilità che vengano annotate da qualche parte in chiaro.

            * i geek come noi sono oggettivamente una minoranza, soprattutto nell’era di smartphone e tablet.

          2. Esatto. E infatti credo che sia proprio per questo motivo che Google e compagni le nascondano dopo averle mostrate la prima volta. In genere l’applicazione (come un client email) la memorizza e non la chiede più.

            Nel mio PlayBook, invece, l’app GeeReader la conserva per un mese, poi la richiede. In casi come questi conservo nel portachiavi la password e la inserisco all’occorrenza.

          3. Per la cronaca: io sto ancora cercando di capire cosa fare e come regolarmi. Personalmente propenderei per l’autenticazione multifattoriale, per password usa e getta ed altre cose che offrono una porta un po’ più blindata, ma non riesco a smettere di fare l’avvocato del diavolo considerato il mio ruolo di divulgatore e docente. Siamo nella situazione assurda che le persone che hanno più bisogno di innalzare le difese sono quelle che ne risentirebbero di più con il rischio di fare più danno psicologico (e non) che bene. :/

          4. Come sempre hai colto perfettamente il punto. Anche io, nella mia esperienza con la tipologia di utenti che citi, ho capito che queste blindature sono un qualcosa che intimorisce o che comunque non li fa sentire a loro agio. Ma, finché sono disposti ad ascoltare, è bene far capire loro l’importanza della cultura della sicurezza in campo informatico; in caso contrario è meglio che — come dicevo prima — non usino proprio un PC. :)

I commenti sono chiusi