Grave scivolone di Google: l’aggiornamento di Google Authenticator, l’applicazione iOS per l’autenticazione a due fattori (concettualmente analoga alle chiavette delle banche online) “pialla” tutte le credenziali registrate dall’utente. Google ha subito ritirato l’app dallo store di Apple e sta lavorando alla risoluzione del bug. Quindi, non aggiornate quella app, se ad esempio avete già scaricato la nuova versione su Mac o PC con iTunes e attendete la prossima sincronizzazione per portarla sul vostro iPhone.
Il rischio è quello di perdere tutte le credenziali. E il danno della superficialità con la quale Google ha gestito l’aggiornamento non solo ha dell’incredibile, ma è ancora maggiore dato che l’app era particolarmente “buona” e poteva funzionare da contatore “open” anche per altri servizi, dato che si basa su uno standard in cui basta associare la chiave a un account con password e nome utente per avere un numero generato in modo casuale che cambia ogni 30 secondi. In questo modo per autenticarsi a un servizio oltre la password la possibilità di utilizzare anche la cifra (il “secondo fattore” di autenticazione) sempre diversa riduce radicalmente le possibilità di vedere la propria identità digitale rubata anche da chi dovesse aver accesso al vostro computer e alla password (ma non al Google Authenticator).
Il vero problema è che adesso molti utenti di questi servizi (tra cui citiamo DropBox ed Evernote, oltre a Gmail e gli altri servizi Google) rischiano di essere tagliati fuori dal loro account, senza la possibilità di resettare il vecchio legame con la versione poi aggiornata di Authenticator nella malaugurata eventualità che abbiano eseguito l’accesso e “bruciato” le credenziali. Si tratta di un certificato di sicurezza crittografato per ogni account appaiato con Authenticator che ovviamente Google non è in grado di replicare (altrimenti chiunque potrebbe avere accesso ai dati, a condizione di poter replicare il certificato e conoscere la password, vanificando il vantaggio della protezione a due fattori).
Ovviamente tutti i servizi offrono una modalità per disappaiare l’account con una singola chiavetta che fa da contatore nel caso vada persa o si rompa (come in questo caso) ed è quindi possibile generare un nuovo codice per appaiarle, ma è una procedura lunga e in alcuni casi piuttosto difficile. Non a pochi insomma capiterà come di sentirsi sbattuti fuori da casa propria perché Google ha “perso”, anzi buttato la chiave per entrare. Sono errori che nel 2013, con l’economia digitale, non ci si può permettere di fare.