L’attuale sistema per autenticarsi online è estremamente fragile. Colpa innanzitutto delle password facili da ricordare, ma al tempo stesso molto semplici da indovinare per hacker o utenti malintenzionati. Una regola di base: per garantire una maggiore sicurezza i codici d’accesso devono essere lunghi, complicati e sostituiti con frequenza. In altre parole: difficili da ricordare. Ma non sempre è sufficiente. I colossi dell’informatica stanno lavorando a futuristici sistemi: l’accesso biometrico, il riconoscimento facciale e quello vocale. Alcuni ricercatori studiano persino l'uso delle onde cerebrali. La promessa: un metodo per ovviare in modo semplice ed efficace ai furti delle informazioni personali (ed aziendali) ad opera dei cybercriminali. E che sia privo di vulnerabilità.
La prima è stata Apple che per il suo iPhone 5s ha sdoganato il lettore d'impronte digitali per sbloccare il telefono senza dovere impostare un codice. Pure Htc, Lg e Samsung hanno riferito di voler dotare i loro prossimi dispositivi con sensori di impronte digitali simili. Microsoft ha annunciato che la prossima versione del suo sistema operativo (Windows 8.1), in uscita il prossimo mese, sarà ottimizzata per le tecnologie di lettura biometriche. Poi ci sono Google, PayPal, Lenovo: le società si sono riunite in un consorzio battezzato Fido (Fast Identity Online) che intende creare un hardware «autenticatore» e standard per permettere di ridurre la dipendenza dalle password. L'idea: un hardware in grado di identificarsi presso i siti Internet in modo non falsificabile; l'utente si fa riconoscere non direttamente dal sito, ma dal device stesso.
Come racconta il quotidiano finanziario Wall Street Journal, gli ingegneri di Mountain View stanno testando da qualche tempo una soluzione «fisica» per il login sicuro sulle piattaforme gestite da Google, un hardware che permette agli utenti di accedere agli account senza l’ausilio della classica accoppiata «username e password», ma che sfrutta alcuni "token" intelligenti, come quelli forniti per l’online banking. In sostanza si tratta di un piccolo dispositivo Usb crittografato, di una schedina molto compatta - simile nell'aspetto alle comuni chiavette per archiviare e trasferire dati -, che genera dei codici temporanei, validi solo per una volta e per un periodo limitato. YubiKey, questo il nome del device sviluppato dall’azienda californiana Yubico, una volta collegato all'interfaccia Usb del proprio computer, esegue l'autenticazione dell'utente e abilita direttamente l'accesso ai servizi online di Google (dalla posta Gmail a tutti gli altri account) senza dover digitare alcun codice. Grazie alla tecnologia Nfc (Near Field Communication) - quella che permette di pagare con il cellulare - è possibile utilizzare YubiKey con uno smartphone, tablet o con altri dispositivi abilitati. Stando al Wsj, il token potrebbe arrivare sul mercato già nel 2014 e costare meno di 50 dollari. Mayank Upadhyay, uno dei responsabili della sicurezza di Google, spiega che il sistema è sicuro e facile da usare. Viene da chiedersi: cosa è più sicuro? Ricordarsi i codici d’accesso, seppur lunghi e complicati, o affidarsi totalmente a un token che genera password monouso? Di sicuro c'è che il device sarà bene non lasciarlo in giro.
Insomma, la password come la conosciamo ha fatto la sua storia. Qualche esempio: un’azienda di Madrid, la Agnitio, ha sviluppato un software che consente ai propri dipendenti di accedere ai terminali pronunciando una semplice frase. I dipendenti della società londinese PixelPin, invece, devono ricomporre una foto, da loro scelta e suddivisa, prima di poter accedere ai computer. E parlando di futuro prossimo, un gruppo di ricercatori dell'Università di Berkeley, in California, sta studiando addirittura l'uso di onde cerebrali per l'autenticazione. I soggetti nello studio hanno indossato delle speciali cuffie in grado di misurare i segnali provenienti dal cervello mentre immaginavano di compiere una determinata azione. In teoria, pensare a una particolare azione potrebbe addirittura diventare il nuovo concetto di password: i ricercatori sono infatti riusciti a distinguere le persone con un'accuratezza del 99 per cento.
20 settembre 2013