Perché le password hanno i giorni contati

Thorsten Stremlau

26/02/2018

Thorsten Stremlau, Direttore di Global Large Enterprise Segment Product and Offering Strategy presso Lenovo, parla di come, a breve, ricordare le password diventerà un ricordo del passato.

Le password hanno un problema. Tante persone si ostinano a utilizzare le stesse password su più dispositivi e piattaforme. Tuttavia, così facendo, se un pirata informatico compromette un account, può comprometterli tutti. E i pirati informatici sono più attivi che mai, come dimostrano i recenti attacchi a LinkedIn e Twitter. Altre tecnologie, quali la biometria e le smart card, sono più sicure, ma presentano a loro volta dei punti deboli. Poiché ormai tutte le informazioni vengono archiviate digitalmente, la sicurezza è più importante che mai. Come possiamo passare a un modello più sicuro?

Una modalità migliore di autenticazione

La risposta è FIDO Alliance. Si tratta di un gruppo che riunisce alcune delle maggiori aziende tecnologiche: Lenovo (membro fondatore), Google, ARM, Bank of America, Intel, Microsoft, PayPal, Qualcomm e Samsung, tanto per citare qualche nome. Creato per aprire la strada a metodologie migliori in materia di sicurezza su tutti i dispositivi e le piattaforme, è proprio tale gruppo a garantire che le password avranno i giorni contati.

Tutto è cominciato con l’acquisizione da parte di Lenovo di Validity, azienda produttrice di sensori per impronte digitali. L’amministratore delegato di Validity era entrato in contatto con varie grandi aziende, compresa PayPal, per convincerle a utilizzare la loro tecnologia di autenticazione dei pagamenti. L’idea era che PayPal potesse essere in grado di autenticare un pagamento da qualsiasi dispositivo in uso, purché questo disponesse di un sensore Validity. L’idea piacque moltissimo a PayPal. Tuttavia esisteva un problema.

Se lo avesse fatto per Validity, avrebbe dovuto farlo per tutti i produttori di sensori per impronte digitali. All’epoca, ce n’erano circa 150-200. PayPal avrebbe pertanto dovuto dedicare tutto il suo tempo all’integrazione e ai test di sicurezza, cosa che ovviamente non era fattibile.

Per ovviare a ciò, Lenovo e Validity hanno forgiato un’alleanza di settore aperta della quale sono tutt’oggi alla guida, avente come obiettivo una rivoluzione dell’autenticazione online. Si tratta di FIDO Alliance, dove FIDO sta per Fast IDentity Online (identità rapida online).

Che cosa c’era prima?

Prima di FIDO, l’autenticazione era un vero caos. Bisognava avere un client o un software in esecuzione sul proprio dispositivo. Bisognava utilizzare un metodo di autenticazione, come ad esempio: password, token RSA, smart card o impronte digitali. L’autenticazione avveniva nei confronti del suddetto software client. Il software client provvedeva quindi a inviare un segnale al server, che più o meno recitava: “OK, autenticazione completata con successo da Thorsten”. Sembra semplice, eppure c’erano tantissimi problemi.

Per ogni autenticazione, era necessario implementare una sorta di soluzione software per l’hardware specifico in questione. Ciò era specifico per l’autenticazione, pertanto non poteva essere trasferito a nient’altro. Se si disponeva di una soluzione per impronte digitali, era necessario poter contare su una soluzione per impronte digitali in esecuzione sul server, oltre che di un client per impronte digitali. La stessa cosa valeva per smart card e token RSA. Questi non erano compatibili fra le varie piattaforme, perciò era davvero difficile cambiare dispositivo.

Inoltre, tale sistema era estremamente difficile da riutilizzare. Utilizzando la mia soluzione con smart card in azienda, non potevo usarla anche per la mia banca, i miei pagamenti online con Amazon o PayPal. Era infatti legata al mio ambiente aziendale, senza possibilità di scelta.

Perché FIDO è meglio

FIDO Alliance crea un client FIDO sul dispositivo. È disponibile per Android, Windows e il browser Chrome. Al posto dell’autenticazione via software installato sul dispositivo, tale soluzione è integrata nei dati di sistema di Windows 10, Android e Chrome. Il codice FIDO funziona con qualsiasi dispositivo in possesso di certificazione FIDO. Sono attualmente disponibili più di 100 soluzioni con certificazione FIDO, fra cui: smart card, lettori di impronte digitali, token RSA e software per il riconoscimento dell’iride. Troviamo una soluzione adatta per ogni caso di utilizzo.

È molto più sicuro e semplice da utilizzare. Supponiamo che voglia autenticarmi sul client FIDO locale presente sul mio dispositivo. Il client FIDO non fa altro che inviare un messaggio alla pagina Web, dichiarando che l’autenticazione è avvenuta con successo. Non è quindi più necessario trasferire password o hash delle password sul server. Sul server di autenticazione di ciascuna pagina Web non c’è nulla che possa essere riutilizzato su altri siti. Per accedere ad Amazon o Google, basta utilizzare l’autenticatore FIDO per eseguire l’autenticazione sul sito. Dopodiché, sarà possibile usare qualsiasi dispositivo registrato sul sito in questione. Questa soluzione elimina del tutto la necessità delle password.

FIDO Alliance promuove due tipi di tecnologie di autenticazione. L’UAF (Universal Authentication Factors) per quanto riguarda l’utilizzo di biometria, token fisici e password. La seconda tecnologia è l’U2F (Universal Second Factor Authentication). Ogni metodologia di autenticazione presenta dei punti deboli: le password possono essere indovinate, le smart card rubate e i dati biometrici falsificati in determinate condizioni. Tuttavia, combinandole insieme come fa l’U2F, si ottiene un livello di sicurezza più elevato.

La nostra sicurezza online è fondamentale, sia nella nostra vita privata sia in quella professionale. FIDO Alliance è il modo migliore per assicurarsi che i nostri dati rimangano in nostro possesso. Di certo non sarò in lutto per la scomparsa delle password.

La nostra collana di eBook online spiega quali sono le sfide e le opportunità che si presentano alle imprese del 21° secolo per aiutarle a restare competitive.

TI POTREBBE INTERESSARE ANCHE...

L’ufficio del 2020

Cosa devono sapere le organizzazioni del 21° secolo