Verifica in due passaggi obbligatoria per gli account Super Admin di Google Workspace nel 2024

La verifica in due passaggi (2SV), nota anche come autenticazione a più fattori (MFA) o autenticazione a due fattori (2FA), aggiunge un secondo livello di sicurezza: per autenticare la propria identità al momento dell'accesso, l'utente deve fornire due informazioni distinte. Oltre alla password dell'account, serve quindi un secondo metodo di verifica per completare il login. Questo secondo fattore può essere una chiave di sicurezza (l'opzione più sicura), una richiesta tramite Google Authenticator oppure un codice di verifica ricevuto via chiamata o SMS (considerati meno sicuri).

Si tratta di un passo apprezzabile verso il rafforzamento della sicurezza degli account Super Admin, che diventano così molto più difficili da compromettere per i potenziali aggressori. Pur essendo una novità positiva per chi tiene alla sicurezza, può creare qualche difficoltà alle organizzazioni che devono valutare come proteggere i propri service account. È importante sottolineare che la modifica riguarda esclusivamente gli account Super Admin: gli amministratori delegati e gli utenti standard non saranno soggetti all'obbligo di 2SV imposto da Google. I Super Admin riceveranno una notifica per attivare la verifica in due passaggi 60 giorni prima dell'entrata in vigore dell'obbligo, oltre a un promemoria per attivare la 2SV entro la data prevista a ogni accesso ai servizi Google. Occorre prestare particolare attenzione, perché queste notifiche di accesso rischiano di passare inosservate se gli account Super Admin non vengono utilizzati con regolarità. Inoltre, 30 giorni prima dell'entrata in vigore verrà inviato un ulteriore avviso agli indirizzi email e ai numeri di cellulare dei Super Admin.

I service account vengono talvolta utilizzati da applicazioni di terze parti per accedere alle risorse di Google Workspace. Un service account privo di verifica in due passaggi è esposto a possibili attacchi, con il rischio di accessi non autorizzati a dati sensibili o addirittura della compromissione dell'intero dominio Google Workspace.

Per evitare possibili interruzioni del servizio, gli amministratori di Google Workspace dovrebbero accertarsi che tutti i service account Super Admin abbiano la 2SV attiva. Basta accedere alla pagina Menu > Reporting > Report utente > Sicurezza nella Console di amministrazione. In alto, è possibile applicare il filtro "Stato amministratore" per visualizzare solo gli account Super Admin.

Per ciascun account Super Admin, l'amministratore troverà una colonna denominata "Registrazione alla verifica in due passaggi" che indica lo stato di adesione alla 2SV, mostrando se l'account è registrato o meno.

Sezione Report utente filtrata per mostrare gli account Super Admin.

Una volta individuati gli account Super Admin non ancora registrati alla verifica in due passaggi di Google, gli amministratori possono procedere ad applicare la policy 2SV. Per visualizzare le policy in vigore basta accedere alla pagina Sicurezza > Verifica in due passaggi della Console di amministrazione. Il piano di implementazione varia a seconda della struttura delle unità organizzative dell'azienda e dall'eventuale utilizzo di un identity provider di terze parti per gli utenti non amministratori che accedono agli account Google Workspace. Un approccio molto diffuso prevede di inserire tutti gli account Super Admin in un gruppo dedicato e di attivare l'obbligo di verifica in due passaggi per quel gruppo a partire da una data futura prestabilita. Con questa configurazione, ogni account aggiunto al gruppo con la nuova policy attiva e non ancora registrato alla 2SV riceverà da Google la richiesta di registrarsi a ogni nuovo accesso. Un metodo sicuro per gestire l'opzione "Periodo di registrazione per nuovi utenti" è lasciarla impostata su Nessuno e fare in modo che gli amministratori configurino la verifica in due passaggi su ogni nuovo account prima di assegnare il ruolo di Super Admin.

Impostazioni per l'applicazione della policy di verifica in due passaggi.

Oltre a registrare gli account Super Admin alla verifica in due passaggi di Google, gli amministratori possono utilizzare una password per le app monouso per le integrazioni che non supportano la moderna autenticazione OAuth2 (la familiare schermata "Accedi con Google"). In questo modo si rafforza la sicurezza dei service account, mantenendo l'account Google protetto dalla policy 2SV anche quando interagisce con app o servizi legacy.

Adottando queste misure proattive per garantire l'iscrizione di tutti i Super Admin alla verifica in due passaggi, gli amministratori rafforzano la sicurezza degli account e riducono al minimo il rischio di blocchi e interruzioni quando Google renderà operativa la policy.