Nel campo dell'informatica per autenticazione si intende il processo attraverso il quale un software verifica (nel modo più affidabile possibile) l'identità dell'utente che vuole accedere ad un servizio. In particolare, nel mondo della sicurezza informatica esistono 3 diversi fattori con i quali un utente può verificare la propria identità per autenticarsi:
- Qualcosa che so: è il fattore più comune, è basato sul fatto che solo noi conosciamo la "parola d'ordine" che ci identifica. Appartengono a questa categoria le password ed i PIN di accesso.
- Qualcosa che ho: questo fattore si riferisce ad un oggetto che solo io posso avere. Appartengono a questa categoria le smartcard ed i dispositivi che ti assegnano le banche per generare i pin (TOTP).
- Qualcosa che sono: questo è il fattore di sicurezza considerato più sicuro in quanto fa riferimento ai nostri dati biologici. Appartengono a questa categoria la scansione delle impronte digitali e il riconoscimento del volto.
Fino a poco tempo fa per autenticarsi con buona sicurezza era sufficiente un autenticazione a singolo fattore. Per registrarsi ad un servizio bastava creare un username ed una password (qualcosa che so) ed il gioco era fatto.
Ma con il recente aumento degli attacchi informatici volti a rubare i database con le credenziali degli utenti è diventato evidente che un singolo fattore di autenticazione non è più sufficiente a proteggere un account. Giusto per riportare qualche numero, è notizia di quest'anno il furto di 773 milioni di email e 21 milioni di password. E' evidente che chi utilizza la stessa coppia di username e password per l'accesso a più servizi sia particolarmente vulnerabile a questo tipo di attacchi. Basta che un malintenzionato buchi quel vecchio forum a cui ti sei dimenticato di esserti iscritto per poter ottenere le tue credenziali e autenticarsi a tutti gli altri servizi che utilizzi senza alcuno sforzo. Proprio per questo motivo sempre più aziende del mondo web hanno iniziato a richiedere un secondo fattore per l'autenticazione.
Tra i servizi che supportano l'autenticazione a due fattori ovviamente non poteva mancare PayPal. Fino a poco tempo fa però, il secondo fattore di autenticazione supportato da PayPal era l'SMS da ricevere sul proprio numero di telefono (qualcosa che ho). Sebbene questo sistema sia sicuramente meglio rispetto all'utilizzo di un singolo fattore è comunque considerato un meccanismo di autenticazione poco sicuro e molto scomodo da usare. Infatti da assiduo utilizzatore di PayPal molte volte mi è capitato che l'SMS con il codice non arrivasse mai e fosse necessario richiederlo una seconda o addirittura una terza volta prima di poter effettuare un pagamento facendomi perdere una quantità ingente di tempo.
Finalmente però a PayPal hanno aggiunto la possibilità di generare i codice direttamente dal telefono dell'utente utilizzando un applicazione come Google Authenticator o Microsoft Authenticator.
Abilitare Google Authenticator come secondo fattore #
La prima cosa da fare per poter abilitare Google Authenticator come secondo fattore di autenticazione è accedere al tuo profilo PayPal e aprire la pagina delle impostazioni tramite l'icona con l'ingranaggio in alto a destra.
Nella pagina delle impostazioni devi selezionare la scheda Sicurezza e premere sul link Attiva (o Modifica nel caso in cui avessi avuto già attiva l'autenticazione a 2 fattori tramite SMS) della sezione Verifica a 2 passaggi
Se avevi già l'SMS come secondo fattore devi cercare la voce Aggiungi un dispositivo per poter aggiungere Google Authenticator (PayPal avrebbe anche potuto sforzarsi un po' nel trovare un messaggio più significativo)
Se avevi l'SMS come secondo fattore di autenticazione devi trovare il link "Aggiungi un dispositivo"
Ora PayPal ci chiederà se vogliamo aggiungere un nuovo numero di telefono per la ricezione degli SMS oppure se vogliamo utilizzare un applicazione di autenticazione. Ovviamente per poter aggiungere Google Authenticator dovrai scegliere di utilizzare un applicazione.
A questo punto PayPal ti mostrerà il codice QR da scansionare con Google Authenticator per poter generare i codici temporanei da usare per l'accesso al tuo account.
NOTA: a questo punto se hai un password manager o un luogo sicuro dove custodire le password ti consiglio caldamente di salvarti un backup del codice QR o il PIN segreto che genera PayPal. In questo modo, se dovessi perdere o rompere il telefono su cui hai Google Authenticator potrai comunque accedere agevolmente al tuo account PayPal.
Conclusioni #
Visto che l'account PayPal è un bersaglio molto goloso per un potenziale malintenzionato, se non l'hai ancora fatto, ti consiglio caldamente di attivare l'autenticazione a due fattori. Inoltre ti consiglio di verificare se il tuo account email è stato coinvolto in qualche furto di dati inserendo il tuo indirizzo email all'interno di questo servizio offerto dai creatori di Firefox.
Se questo post ti è piaciuto e ti è stato utile ti invito ad iscriverti al mio canale Telegram. Se invece hai domande o vuoi lasciare un commento puoi contattarmi direttamente su Telegram o su Twitter. A presto!