Il tuo account Gmail può essere violato: è già successo a molti utenti e, un bel giorno (si fa per dire), potrebbe succedere anche a te. Anzi, più il tuo account è appetibile, più è probabile che sia oggetto di numerosi tentativi di guadagnarne l’accesso e, di conseguenza, maggiore è la probabilità che almeno uno di questi tentativi possa riuscire.

Va considerato, inoltre, che possedere oggi un account Gmail può comportare l’attivazione di numerosi servizi collegati, come Google Voice, Google Drive, Google Calendar o Google+, pertanto il problema assume contorni sempre più preoccupanti, dato che non si tratta più solo della posta elettronica, ma dei nostri dati e della nostra immagine pubblica.

Fortunatamente è possibile ridurre al minimo la probabilità di ricevere, in futuro, la fatidica comunicazione con cui Google ci avvisa che il nostro account è stato violato. Ecco quindi un tutorial che ci consente, con soli 10 passi, di proteggere al meglio il nostro account Gmail e di verificare periodicamente che non sia stato violato o non offra accessi nascosti indesiderati.

La protezione dell’account
Prima di tutto, dobbiamo assicurarci che il nostro account sia configurato per adottare la massima protezione possibile. Ecco quindi i primi 4 suggerimenti utili allo scopo.

1. Generazione della password: utilizzare password adeguatamente sofisticate, ad esempio di lunghezza pari o superiore a 12 caratteri composti da lettere minuscole e maiuscole, cifre numeriche e almeno un carattere speciale. Non utilizzare mai informazioni personali per costruire la password, ad esempio nomi propri (parenti, amici, animali domestici, ecc.), date significative (nascita, matrimonio, ecc.) e qualsiasi altro dato agevolmente riconducibile a voi o alla vostra vita. In generale è sempre meglio evitare parole contenute nei dizionari delle lingue più comuni. Sul sito del Safety and Security Center di Microsoft è disponibile un utile strumento di verifica online della robustezza della vostra password.
2. Gestione della password: la password va cambiata con regolarità, ad esempio ogni tre mesi, ma sarebbe meglio cambiarla almeno una volta al mese. Se avete diversi account, la gestione delle credenziali di accesso può diventare complicata e spingervi a ridurre la complessità delle password o, peggio, ad adottare la stessa password su più account. L’adozione di un software di password management viene quindi in vostro aiuto: personalmente consiglio KeePass, un software gratuito per l’archiviazione e la gestione delle vostre credenziali di accesso, aggiornato con regolarità e dotato addirittura di un generatore di password configurabile per consentirvi di creare password sofisticate senza scervellarvi troppo. Una valida alternativa è LastPass.
3. Autenticazione forte: utilizzare il metodo di autenticazione con verifica a due passaggi che prevede, oltre all’inserimento della password, l’utilizzo di un codice numerico che viene inviato via SMS ad un numero di cellulare da voi prescelto. Questo metodo, normalmente disattivato, consente di combinare due diversi fattori di autenticazione: qualcosa che so (la password) con qualcosa che ho (il mio cellulare). Per apprenderne l’utilizzo è possibile consultare questo video dimostrativo.
4. Forzatura della crittografia: utilizzare sempre la connessione crittografata per l’accesso al nostro account Gmail da browser, selezionando l’opzione “Usa sempre https” in Impostazioni > Generali > Connessione browser. La crittografia consente di proteggere la confidenzialità e l’integrità di tutte le informazioni in transito fra il nostro browser e il server di Gmail, credenziali comprese.

1. Verifica delle ultime attività: è opportuno controllare con regolarità le ultime attività del vostro account, grazie all’apposita funzionalità seminascosta della finestra di Gmail, che pochi avranno notato. In basso a destra, infatti, è disponibile una piccola scritta che riporta “Ultima attività dell’account” con l’indicazione del tempo trascorso dall’ultima operazione eseguita. Sotto la scritta è disponibile il collegamento “Dettagli” attraverso il quale si accede ad una finestra che elenca le ultime attività eseguite riportando il tipo di accesso (es. browser, IMAP, POP3, iPad Mail, iPhone Mail, ecc.), la posizione, l’indirizzo IP di provenienza, e data e ora espresse nel fuso orario in uso nel nostro account. Grazie a questa utile funzionalità è possibile accorgersi di eventuali attività anomale e accessi indesiderati.
2. Verifica dei filtri: la via più semplice per un attaccante di accedere ai vostri messaggi nonostante la modifica delle credenziali, è quella di impostare regole di inoltro (forwarding) che provocano l’inoltro automatico dei nostri messaggi all’esterno verso un’altra casella di posta. Per verificare l’assenza di regole di inoltro indesiderate è necessario controllare che sia selezionata l’opzione “Disattiva inoltro” in “Impostazioni > Inoltro e POP/IMAP > Inoltro”, ovvero verificare che la lista degli indirizzi email di inoltro (se attivo) non contenga indirizzi sconosciuti e, nel malaugurato caso, procedere con la loro puntuale rimozione.
3. Verifica dell’abilitazione dei protocolli POP e IMAP: se utilizziamo il nostro account Gmail esclusivamente via browser, è bene verificare che non siano attivi i protocolli POP e IMAP richiesti per l’utilizzo della posta elettronica mediante client di posta come Outlook e Thunderbird. Nonostante l’operatività tramite questi protocolli sia comunque rilevabile dalla lista delle ultime attività (vedi punto 1), un malintenzionato potrebbe ricorrervi per aggirare la possibilità di rilevamento di più sessioni web contemporanee. Se non utilizziamo i protocolli POP e IMAP, è sempre meglio disabilitarli.
4. Verifica delle opzioni di ripristino: un’altra semplice modalità di mantenere comunque un accesso è la modifica arbitraria delle opzioni di ripristino dell’account Gmail, perciò è opportuno verificare che non siano stati inseriti indirizzi email di recupero o alternativi a voi sconosciuti. In aggiunta è opportuno controllare che il numero di cellulare non sia stato arbitrariamente modificato a vostra insaputa. A tale scopo è necessario accedere alle “Opzioni di ripristino dell’account” da “Impostazioni > Account e importazione > Modifica Impostazioni Account > Modifica opzioni di recupero della password” e controllare con accuratezza le sezioni “Cellulare” e “Email“. Infine, sempre nella stessa sezione, verificare che non sia stata modificata la risposta segreta alla domanda di sicurezza: un malintenzionato scaltro potrebbe aver mantenuto inalterata la domanda di sicurezza ma aver sostituito la risposta segreta con una di sua conoscenza. In caso di impostazione della domanda di sicurezza è sempre bene adottare suggerimenti che nessuno all’infuori di voi è in grado di interpretare, magari offuscandoli in qualche modo per renderli difficilmente comprensibili.
5. Controllo dei servizi collegati: come già detto, Gmail offre una serie di strumenti e servizi oltre alla semplice posta elettronica e ognuno di questi offre ai malintenzionati ulteriori possibilità di accesso arbitrario al vostro account. Ad esempio, se utilizzate Google Voice è opportuno verificare che messaggi vocali e di testo non siano stati reindirizzati verso indirizzi aggiuntivi. Se usate Google Drive è bene verificare che i vostri documenti non siano condivisi con soggetti diversi da quelli che avevate autorizzato. Se usate Google Calendar, verificate che solo il vostro indirizzo email possa accedere al calendario utilizzando la funzione “Reimposta URL Privati” in “Impostazioni > Calendari > CALENDARIO (nome del vostro account) > Indirizzo privato” e dando conferma al messaggio di verifica. Nella stessa sezione, cliccando su “Condividi questo calendario”, verificare che sia disabilitata l’opzione “Rendi pubblico questo calendario” e che non siano stati inseriti indirizzi email sconosciuti nella sezione “Condividi con persone specifiche”.
6. Controllo di siti, applicazioni e servizi connessi: Gmail non è solo posta elettronica, ma un vero e proprio framework con intere suite di applicazioni e servizi, perciò è opportuno verificare periodicamente se qualche malintenzionato ha consentito l’accesso al nostro account a siti, applicazioni o servizi indesiderati. A volte siamo noi stessi a concedere inavvertitamente o inconsapevolmente l’accesso completo ad elementi esterni sul nostro account Gmail, anche semplicemente abilitando applicazioni di utilità su smartphone e tablet. Per verificare quali elementi hanno accesso al nostro account è necessario accedere alla nostra dashboard di Google effettuando il login con username e password. Nella prima sezione, denominata “Google Account”, sotto il nostro indirizzo email, sono indicati i siti, le applicazioni e i servizi connessi al nostro account: qui è opportuno controllare con accuratezza l’elenco  e revocare l’accesso a tutte le applicazioni sconosciute o il cui accesso non è più necessario. Google offre anche l’interessante possibilità di generare password specifiche per applicazioni esterne, senza necessità di ricorrere alle proprie credenziali di accesso.

Se avete seguito scrupolosamente questi 10 suggerimenti, potete confidare nel fatto che il vostro account Gmail sia adeguatamente protetto contro i più comuni attacchi e i più subdoli meccanismi di accesso indesiderato.

Ettore Guarnaccia