Sicurezza

Google prova a pensionare la password con una chiave (USB)

Per minimizzare il rischio derivante da una cattiva gestione delle password, Google pensa a una soluzione radicale: eliminare le password, al loro posto chiavi fisiche personalizzate

Yubiko Google

– Credits: Yubiko

Se anche voi, come Matt Honan , avete avuto la sfortuna di essere stati vittime di un massiccio attacco hacker, lo avrete sperimentato sulla propria pelle: la password può essere un tallone d'Achille letale per la tua sicurezza in rete. Questo perché il più delle volte hai la tendenza a utilizzare la stessa password per decine di diversi servizi, ho perché hai scelto una sequenza di caratteri penosamente banale.

Google è al corrente di questa debolezza intrinseca nel sistema password, e da qualche tempo sta lavorando a un sistema che consentirà di sbarazzarci per sempre dell'infinità di parole chiave e nomi utente che la nostra mente tanto fatica a custodire. In questi giorni, Eric Grosse, VP del settore security engineering di Google, e Mayank Upadhyay, un altro ingegnere Google specializzato in sicurezza, hanno finito di redigere un lungo e articolato studio che individua tutti i problemi connessi con l'uso di password, avanzando una soluzione a loro avviso ottimale: una chiave. O per essere più precisi: una chiavetta USB.

Invece di affidare la propria identità a coppie di username e password, Google sta dunque pensando alla possibilità di utilizzare una chiavetta USB compatta Yubico come lasciapassare per l'utilizzo dei suoi servizi. Basta che l'utente inserisca la propria chiavetta nel dispositivo connesso che sta utilizzando e, sfruttando una versione modificata del browser Chrome, e qualsiasi sito web potrà accedere alla cryptographic card integrata nella chiavetta per confermare l'identità dell'utente. Poiché non si verifica alcuna copia o produzione di dati, a detta dei due ingegneri di Mountain View, un sistema simile sarebbe sostanzialmente a prova di hacker.

La vulnerabilità del sistema password non è una novità, e diverse startup stanno lavorando da tempo a soluzioni come quella avanzata ora da Google (Pico è solo uno degli esempi), ma il problema si è imposto nel panorama hi-tech lo scorso agosto quando Matt Honan, collaboratore di Gizmodo e Wired, ha raccontato una storia che pareva incredibile: triangolando le informazioni reperite da Apple, Amazon e Gmail, un hacker era riuscito in solo quarto d'ora a impadronirsi di ogni suo account online, accedendo così a tutte le cloud su cui Honan aveva salvato preziosi documenti e fotografie.

Nel raccontare la vicenda, Honan approfittò per dare importanti consigli agli utenti su come evitare un simile disastro digitale, uno su tutti: attivare l'opzione 2-step-verification di Google , un sistema che fa sì che ogni volta che tenti di accedere a un servizio Google da un computer che non è il tuo, ti venga recapitato automaticamente un codice unico via SMS senza il quale sarà impossibile certificare a Google la tua identità.

Ma poiché anche questo sistema si è rivelato non essere totalmente a prova di hacker, Google sembra avere intenzione di cambiare completamente paradigma. Nello specifico, la chiavetta USB potrebbe essere solamente un supporto di transizione, Grosse e Upadhyay non esitano infatti a intravedere sviluppi fantasiosi come l'integrazione di questo sistema in gioielli e chiavi fisiche, o ipotesi più verosimili come l'integrazione negli smartphone.

Ancora non è dato sapere quando (e se) Google comincerà a introdurre questa novità. Nel frattempo, il mio consiglio è di coprirvi bene e proteggere il più possibile le vostre password .

Seguimi su Twitter: @FazDeotto

© Riproduzione Riservata

Leggi anche

Password e hacker. Non basta la parola (segreta)

Le password trafugate dagli hacker l’anno scorso sono state milioni. Ma grazie al riconoscimento biometrico e alla gestualità degli utenti si stanno evolvendo per diventare indecifrabili

Commenti