Google si dà ai gioielli, per pensionare le password
Ormai è ufficiale, bisogna trovare una soluzione più sicura delle obsolete password. Google pensa a un anello che consenta all'utente di accedere in totale sicurezza ai servizi, da qualsiasi computer
Un anello per domarle, un anello per trovarle,
un anello per dimenticarle e non doverne più aver bisogno.
Perdonate la dozzinale analogia, ma è servita su un piatto d’argento. A quanto pare, tra le varie soluzioni che Google sta valutando nella sua campagna per il pensionamento delle password, figura anche un anello contenente una chiave criptata e un chip contactless per consentire transazioni di prossimità.
Lo scorso gennaio vi avevamo raccontato di come Google stesse lavorando a una particolare chiavetta USB che potesse essere utilizzata in qualsiasi pc come surrogato della password. Ora Mayank Upadhyay, uno dei più importanti ingegneri a Mountain View, rivela che al posto della chiavetta USB l’amuleto che Google potrebbe scegliere per garantire maggiore sicurezza ai propri utenti potrebbe essere un anello.
In questa specie di gioiello-password verrebbe incorporata una chiave unica criptata che consentirebbe all’utente di accedere a un servizio senza che alcun dato venga trasmesso con il dispositivo connesso, e quindi senza possibilità che questa chiave venga copiata. “La cosa interessante, su cui stiamo molto lavorando” spiega Upadhyay “è il sistema necessario al funzionamento di questa chiave è incorporato all’interno del browser stesso, il che significa che non c’è bisogno di installare middleware o altro. Vogliamo arrivare al punto in cui potrai semplicemente andare a casa di un amico e accedere in sicurezza ai tuoi account.”
Attualmente Google sta lavorando ai primi prototipi, e pare abbia già cominciato a sondare il terreno con possibili partner. Ma non è l’unico a guardare oltre l’orizzonte delle password, basti pensare al consorzio FIDO (a cui partecipano brand del calibro di PayPal e Lenovo), che si pone come obbiettivo principale l’emancipazione dalle password e l’utilizzo degli stessi dispositivi mobile per l’autenticazione ai servizi web.
Ma cos’hanno le password che non va? Qual’è il problema? Principalmente, gli stessi utenti che le scelgono. Negli ultimi due anni il numero di attacchi hacker basati su password è aumentato vertiginosamente e diversi studi concordano nel dare la colpa alla superficialità con cui molti utenti scelgono la propria chiave personale per il web. Basti pensare che, solo nel 2012, più di 442.000 password Yahoo! sono state hackerate. Di queste almeno 100.000 erano utilizzate da più di un utente . Non si tratta di casi fortuiti, e la cosa diventa piuttosto evidente se si considera che 1.666 delle vittime di quegli attacchi avevano scelto come password la sequenza “123456”.
A fronte di questa situazione, le alternative sono due: o si educano milioni di utenti a scegliere e soprattutto gestire il proprio portafoglio password, oppure si cerca di fare a meno delle password. Google ci ha provato a “educare” i suoi utenti, e ha pure pensato di mettere a disposizione un sistema piuttosto valido per arginare il pericolo hacker (l’opzione 2-step-verification). Ma considerando che alla fine solo l’1% degli utenti ha fatto lo sforzo di attivare il sistema, non stupisce che ora Google voglia propendere per una soluzione a prova di idiota.
Seguimi su Twitter: @FazDeotto
