Nel campo informatico, l'autenticazione è il processo con cui un software verifica, nel modo più affidabile possibile, l'identità dell'utente che richiede l'accesso a un servizio. In particolare, nella sicurezza informatica esistono tre fattori distinti con cui un utente può provare la propria identità:
- Qualcosa che so: il fattore più comune; si basa su informazioni note solo all'utente, come password e PIN.
- Qualcosa che ho: un oggetto o dispositivo posseduto dall'utente, ad esempio smartcard o generatori di codici TOTP.
- Qualcosa che sono: dati biometrici, come impronte digitali o riconoscimento facciale; è il fattore considerato più sicuro.
Fino a qualche tempo fa, per registrarsi e accedere a un servizio bastavano username e password: l'autenticazione a singolo fattore era considerata sufficiente.
Con il recente aumento di attacchi volti a rubare database di credenziali, è diventato chiaro che un singolo fattore non è più sufficiente per proteggere un account. A titolo esemplificativo, quest'anno è stata riportata la fuga di 773 milioni di email e 21 milioni di password.
È quindi evidente che chi utilizza la stessa coppia di username e password su più servizi è particolarmente vulnerabile: basta che un malintenzionato comprometta un vecchio sito a cui ci siamo iscritti per ottenere le credenziali e accedere ad altri servizi senza fatica.
Per questo motivo sempre più aziende del web richiedono un secondo fattore di autenticazione.
Tra i servizi che supportano l'autenticazione a due fattori non poteva mancare PayPal. Fino a poco tempo fa, il secondo fattore offerto da PayPal era l'SMS ricevuto sul numero di telefono. Sebbene migliore del solo password, l'SMS è considerato relativamente insicuro e spesso scomodo da usare. Da utilizzatore abituale di PayPal, mi è capitato spesso che l'SMS non arrivasse e che fosse necessario richiederlo più volte, con notevole perdita di tempo.
Fortunatamente PayPal ha introdotto la possibilità di generare i codici direttamente sul telefono tramite app come Google Authenticator, Microsoft Authenticator o Proton Authenticator.
Abilitare Google Authenticator come secondo fattore #
La prima cosa da fare per poter abilitare Google Authenticator come secondo fattore di autenticazione è accedere al tuo profilo PayPal e aprire la pagina delle impostazioni tramite l'icona con l'ingranaggio in alto a destra.
Nella pagina delle impostazioni devi selezionare la scheda Sicurezza e premere sul link Attiva (o Modifica nel caso in cui avessi avuto già attiva l'autenticazione a 2 fattori tramite SMS) della sezione Verifica a 2 passaggi
Se avevi già l'SMS come secondo fattore devi cercare la voce Aggiungi un dispositivo per poter aggiungere Google Authenticator (PayPal avrebbe anche potuto sforzarsi un po' nel trovare un messaggio più significativo)
Se avevi l'SMS come secondo fattore di autenticazione devi trovare il link "Aggiungi un dispositivo"
Ora PayPal ci chiederà se vogliamo aggiungere un nuovo numero di telefono per la ricezione degli SMS oppure se vogliamo utilizzare un applicazione di autenticazione. Ovviamente per poter aggiungere Google Authenticator dovrai scegliere di utilizzare un applicazione.
A questo punto PayPal ti mostrerà il codice QR da scansionare con Google Authenticator per poter generare i codici temporanei da usare per l'accesso al tuo account.
NOTA: a questo punto se hai un password manager o un luogo sicuro dove custodire le password ti consiglio caldamente di salvarti un backup del codice QR o il PIN segreto che genera PayPal. In questo modo, se dovessi perdere o rompere il telefono su cui hai Google Authenticator potrai comunque accedere agevolmente al tuo account PayPal.
Conclusioni #
L'account PayPal è un obiettivo molto appetibile per chi tenta accessi non autorizzati. Se non l'hai ancora fatto, abilita immediatamente l'autenticazione a due fattori (2FA) per proteggere saldo e dati sensibili. Verifica inoltre se la tua email è stata coinvolta in una violazione tramite il servizio di monitoraggio di Firefox: https://monitor.firefox.com/.