Google sperimenta token autenticazione fisici al posto delle password


In un documento di ricerca, due esperti di sicurezza di Google hanno delineato un futuro in cui la via principale per garantire chi diciamo di essere on-line sarà il possesso di un token fisico, forse integrato in smartphone o anche gioielli. Gli esperti di sicurezza del più grande colosso Web hanno aggiunto ciò alle rivendicazioni crescenti sulle password che sono sia intrinsecamente insicure e sempre più impraticabili.

Per rendere più difficili da indovinare per i criminali, i servizi Web hanno costretto le persone  a usare password più lunghe con diversi tipi di caratteri, ma ciò li rende anche più difficile da ricordare. Come riporta il Telegraph, gli esperti consigliano anche di non utilizzare la stessa password per diversi servizi, per ridurre l'impatto se si viene violati.

"Insieme a molti esperti nel settore, ci sentiamo di dire che password e semplici token, come i cookie non sono più sufficienti per tenere gli utenti al sicuro", ha detto il vice presidente della sicurezza Google  Eric Grosse e l'ingegnere Mayank Upadhyay, in un articolo che sarà pubblicato nella rivista di ingegneria IEEE Security & Privacy Magazine.

I cookie sono piccoli file di testo rilasciati dai siti Web ai browser Web per tenere i visitatori registrati in una volta immessa la propria password. "Ci piacerebbe che il vostro smartphone o smartcard siano incorporati in un anello al dito per autorizzare un nuovo computer per mezzo di un rubinetto sul computer, anche in situazioni in cui il vostro telefono potrebbe essere senza connettività cellulare", hanno scritto i Googler.

Grosse e Upadhyay hanno detto che stanno attualmente sperimentando YubiKey, una chiavetta USB prodotta da Yubico che implementa una piccola altamente sicura crittografia "one-time pad" per accedere ai servizi di Google, come un sostituto per le password. In futuro, vogliono che una simile tecnologia di autenticazione possa lavorare in modalità wireless e in tutti igli account on-line di una persona.

"Dovremo avere una qualche forma di sblocco dello schermo, forse le password ma forse qualcosa altro", ha detto Grosse a Wired. "Ma l'autenticatore primario sarà un token come questo o qualche pezzo di hardware equivalente". Gli esperti di sicurezza hanno sottolineato i problemi con le password per anni, e hanno suggerito alternative, ma nessuna è stata ampiamente adottata perché avrebbero bisogno di servizi web per adottare tali norme. 

Due anni fa, Google ha introdotto l'opzione di login in due fasi, il che rende più difficile per i criminali di entrare nell'account di un utente. Con questa opzione, Google invia automaticamente agli utenti un codice segreto tramite messaggio di testo ogni volta che si tenta di accedere ai loro account da un nuovo computer. Il problema è che se i criminali possono convincere l'utente che sta visitando Gmail anche quando non lo è, possono ingannare per inserire il codice segreto.

In realtà, i criminali potrebbero anche trasformare l'autenticazione in due fasi in maniera legittima contro gli utenti. Grosse e Upadhyay hanno attirato l'attenzione, perché provenienti dalla più grande società Web del mondo,  con una migliore possibilità di successo. "Altri hanno tentato approcci simili ma ottenuto poco successo nel mondo dei consumatori", hanno scritto Grosse e Upadhyay.

"Anche se ci rendiamo conto che la nostra iniziativa resta comunque speculativa fino a quando non abbiamo dimostrato l'accettazione su larga scala, siamo ansiosi di provare con altri siti web". Tuttavia, data la rivalità on-line e il basso costo e l'ubiquità delle password, i progressi restano un compito arduo. Bill Gates ha predetto la morte di password a una conferenza sulla sicurezza nel 2004.


Fonte: Telegraph
Via: Wired
Foto 1: Yubico
Foto 2: Google

Nessun commento:

Posta un commento