Google Workspace rafforza la sicurezza della propria piattaforma rendendo obbligatoria la verifica in due passaggi (2SV) per tutti gli account Super Admin. La novità sarà introdotta gradualmente nel corso del 2024 e imporrà ai Super Admin di attivare la 2SV sui propri account. L'adozione partirà dalle organizzazioni con edizioni Enterprise di Google Workspace per poi estendersi progressivamente a tutte le altre edizioni.
La verifica in due passaggi (2SV) costituisce un secondo livello di sicurezza — nota anche come autenticazione a più fattori (MFA) o autenticazione a due fattori (2FA) — e chiede agli utenti due informazioni distinte per confermare la propria identità in fase di accesso. Oltre alla password dell'account, serve un secondo metodo di verifica per completare il login. Questo secondo fattore può essere una chiave di sicurezza (l'opzione più sicura), una richiesta tramite Google Authenticator oppure la ricezione di un codice di verifica via chiamata o SMS (metodi considerati meno sicuri).
È un passo apprezzabile per rafforzare la sicurezza degli account Super Admin e rendere più ardua la loro compromissione da parte di potenziali aggressori. Pur trattandosi di uno sviluppo positivo per chi ha a cuore la sicurezza, può rappresentare una sfida per le organizzazioni che devono mettere in sicurezza i propri service account. È fondamentale ricordare che la novità riguarda esclusivamente gli account Super Admin: gli amministratori delegati e gli utenti standard non saranno soggetti all'obbligo di 2SV imposto da Google. I Super Admin riceveranno una notifica per attivare la verifica in due passaggi 60 giorni prima dell'entrata in vigore dell'obbligo, oltre a un promemoria per abilitare la 2SV entro la data indicata a ogni accesso ai servizi Google. È essenziale restare vigili: queste notifiche di accesso possono facilmente passare inosservate se gli account Super Admin non vengono utilizzati con regolarità. È inoltre previsto un ulteriore preavviso di 30 giorni, recapitato alle email e ai cellulari dei Super Admin prima dell'attivazione dell'obbligo.
I service account vengono talvolta impiegati da applicazioni di terze parti per accedere alle risorse di Google Workspace. Un service account privo di verifica in due passaggi è esposto allo sfruttamento da parte di aggressori, con il rischio di accessi non autorizzati a dati sensibili o, nel peggiore dei casi, della perdita di controllo dell'intero dominio Google Workspace.
Per evitare possibili interruzioni del servizio, gli amministratori di Google Workspace devono assicurarsi che tutti i service account Super Admin abbiano la 2SV attiva. La verifica si effettua dalla pagina Menu > Reporting > User Reports > Security della Admin console. In cima al report è possibile applicare il filtro "Admin Status" per visualizzare solo gli account Super Admin.
Per ciascun account Super Admin compare la colonna "2-Step verification enrollment", che indica lo stato di adesione alla 2SV e segnala se l'account è registrato oppure no.
Sezione User Reports filtrata per mostrare gli account Super Admin.
Una volta individuati gli account Super Admin non ancora registrati alla verifica in due passaggi Google, gli amministratori possono procedere ad applicare la policy 2SV per il futuro. È sufficiente accedere alla pagina Security > 2-Step Verification della Admin console per consultare le policy attive. Il piano di adozione vero e proprio dipenderà dalla struttura delle unità organizzative dell'azienda e dall'eventuale utilizzo di un identity provider di terze parti per gli utenti non amministratori che accedono agli account Google Workspace. Un approccio diffuso prevede di inserire tutti gli account Super Admin in un gruppo dedicato e di attivare l'obbligo della verifica in due passaggi per quel gruppo a partire da una data futura prestabilita. In questo modo, tutti gli account aggiunti al gruppo con la nuova policy attiva e non ancora registrati alla 2SV riceveranno da Google, a ogni nuovo accesso, l'invito a completare l'iscrizione. Per gestire in sicurezza l'opzione "New user enrollment period" conviene lasciarla impostata su None e indicare agli amministratori di configurare la verifica in due passaggi sui nuovi account prima di assegnare loro il ruolo di Super Admin.
Impostazioni di applicazione della policy della verifica in due passaggi.
Oltre a registrare gli account Super Admin alla verifica in due passaggi Google, gli amministratori possono ricorrere a una App Password monouso per le integrazioni che non supportano l'autenticazione OAuth2 moderna (la consueta schermata "Sign in with Google"). In questo modo si rafforza la sicurezza dei service account e si garantisce che l'account Google resti protetto dalla policy 2SV anche nell'interazione con app o servizi legacy.
Adottando queste misure proattive per garantire l'adesione di tutti i Super Admin alla verifica in due passaggi, gli amministratori consolidano la sicurezza degli account e riducono al minimo il rischio di blocchi e interruzioni di servizio quando Google renderà la policy obbligatoria.