Questi articoli sono rivolti agli amministratori di Google Workspace. Gli utenti di Google Workspace sono invitati a consultare l'articolo Attivare la verifica in due passaggi.
Puoi utilizzare la verifica in due passaggi (V2P) per creare un'ulteriore barriera tra la tua attività e i cybercriminali che tentano di rubare nomi utente e password per accedere ai dati aziendali.
Importante: Google applica la V2P per gli account amministratore. Per maggiori dettagli, vai a Informazioni sull'applicazione della V2P per gli amministratori.
Che cos'è la V2P?
Con la V2P, i tuoi utenti accederanno al loro account in due passaggi utilizzando un elemento noto (la password) e un elemento in loro possesso (il telefono o un token di sicurezza). Scopri come funziona.
Le piccole aziende hanno bisogno della V2P?
I cybercriminali scelgono come bersaglio attività di tutte le dimensioni. Se un hacker ottiene l'accesso all'account amministratore, può visualizzare email, documenti (finanziari e non), fogli di lavoro e altro ancora.
Un hacker potrebbe rubare o indovinare una password, ma non può riprodurre qualcosa che hai solo tu.
Metodi per la V2P
Quando configuri la V2P, puoi scegliere il secondo passaggio di verifica per i tuoi utenti.
Token di sicurezza
I token di sicurezza sono la forma più sicura di V2P e proteggono dalle minacce di phishing. Esistono due tipi di token di sicurezza:
- Un token di sicurezza fisico o un token di sicurezza Titan
- La chiave di sicurezza integrata nel telefono (disponibile sui telefoni Android 7 e versioni successive o iOS 10 e versioni successive).
Quando un utente accede al proprio Account Google, il dispositivo rileva che l'account ha un token di sicurezza. Per il secondo passaggio di verifica, l'utente accede con il proprio token di sicurezza. Gli utenti collegano il token di sicurezza al dispositivo tramite USB, Bluetooth o NFC (Near Field Communication), a seconda del tipo di token. Scopri di più sui token di sicurezza.
Richiesta da Google
Gli utenti possono configurare i propri dispositivi mobili Android o Apple in modo da ricevere una richiesta di accesso. Quando gli utenti accedono al proprio Account Google sul computer, sul loro dispositivo mobile viene visualizzato il messaggio "Stai tentando di accedere?". È sufficiente confermare la richiesta sul dispositivo. L'accesso in questo modo aggiunge la sicurezza della V2P ed è più rapido dell'inserimento di un codice di verifica. Scopri di più sulle richieste sullo smartphone.
Google Authenticator e altri generatori di codici di verifica
Gli utenti possono generare codici di verifica monouso su un token hardware (dispositivo hardware di piccole dimensioni) o su un'app sul loro dispositivo mobile, ad esempio Google Authenticator. L'utente inserisce il codice per accedere al proprio computer e ad altri dispositivi, incluso il dispositivo mobile. Google Authenticator e altre app non richiedono una connessione a internet per generare i codici.
La V2P supporta i token software e hardware che utilizzano lo standard TOTP (Time-based One Time Password).
Codici di backup
Se un utente non ha un proprio dispositivo mobile o lavora in un'area in cui non può portarlo con sé, può utilizzare i codici di backup per la V2P. Gli utenti possono generare codici di verifica di backup e stamparli in anticipo.
Messaggio di testo o chiamata telefonica
Google invia un codice V2P ai dispositivi mobili via messaggio o chiamata vocale.
Nota: la V2P con i numeri di telefono locali non è attualmente supportata per alcuni domini in Nigeria e Costa d'Avorio, a causa degli elevati volumi di utilizzi illeciti di account in questi paesi. Per informazioni sull'idoneità del tuo dominio, contatta l'assistenza.
Passkey
Se un amministratore ha attivato l'opzione per ignorare i controlli con password per l'account di un utente, può saltare le verifiche dell'accesso con password e utilizzare invece una passkey che incorpora l'autenticazione a uno e a due fattori. Con le passkey, gli utenti possono accedere al proprio Account Google gestito utilizzando il telefono, un token di sicurezza o il blocco schermo del computer. Per maggiori dettagli, vai a Accedere con una passkey anziché con una password.
Best practice per la V2P
Applica la V2P per gli amministratori e gli utenti principali
Puoi impostare la verifica in due passaggi come obbligatoria o facoltativa per gli utenti. Ti consigliamo renderla obbligatoria per l'account amministratore e per gli utenti che lavorano con i dati aziendali più importanti.
- L'account amministratore è l'account più potente perché può eliminare utenti, reimpostare password e accedere a tutti i dati.
- Anche gli utenti che lavorano con i dati sensibili come dettagli finanziari e informazioni sui dipendenti dovrebbero utilizzare la V2P.
- La V2P è la prima linea di difesa in grado di ridurre fino al 50% il takeover dell'account.
Ti consigliamo di utilizzare i token di sicurezza nella tua azienda
Poiché i token di sicurezza sono il metodo V2P più efficace, valuta la possibilità di utilizzarli nella tua azienda.
- Token di sicurezza: sono il metodo V2P più potente e non richiedono agli utenti di inserire codici.
- Alternative ai token di sicurezza: se decidi di non utilizzare i token di sicurezza, la richiesta da Google o l'app Google Authenticator rappresentano delle valide alternative. Il messaggio di Google offre una migliore esperienza utente perché gli utenti devono semplicemente toccare il dispositivo quando richiesto, invece di inserire un codice di verifica.
- Gli SMS sono sconsigliati: si basano su reti di operatori esterni e potrebbero essere intercettati.