Google sperimenta metodi di autenticazione alternativi alle password

Di - 24 January 2013 - in

Le password sono necessariamente un sistema di autenticazione destinato ad estinguersi. Indovinare una password, infatti, è solo una questione di tempo, e il tempo necessario si accorcia sempre di piú con il passare degli anni e l’aumentare, a parità di costo, della potenza di calcolo delle macchine.

Inoltre, in un sistema grande come Google, la percentuale di utenti che utilizzano password insicure corrisponde a un gran numero di utenti, e non tutte le password insicure sono rilevabili automaticamente come tali e rifiutabili.

Infine, moltissimi utenti utilizzano la medesima password su piú servizi, rendendo un furto di password molto facile, o utilizzano password deboli per servizi critici come la posta elettronica (spesso basta scoprire la password della posta, per ottenere tutte le altre grazie alle procedure di recupero password smarrita).

Diventa sempre piú sensato e sicuro, dunque, sostituire le password con sistemi diversi. Il piú semplice e appropriato è il sistema della “chiave“. In sostanza si tratta di un file, lungo al punto di rendere molto improbabile la stessa esistenza casuale di due file uguali, da utilizzare al posto della password.

La chiave viene realizzata in duplice copia: una versione privata, che resta all’utente, e una pubblica, memorizzata nel sistema al quale si vuole accedere. Un algoritmo può verificare che una data chiave privata corrisponda ad una data chiave pubblica, per effettuare il login. In questo modo si evita di rendere possibile il furto di una chiave a partire dall’hacking del sistema, cosa cruciale quando la medesima chiave è utilizzata per piú sistemi.

Il problema, a questo punto, è la gestione della chiave privata. È già molto difficile, per molti, imparare a memoria una  password sicura. Imparare una chiave è fuori dalle possibilità di chiunque. Per questo motivo sono stati ideati, negli anni, diversi dispositivi hardware atti a contenere chiavi elettroniche e facilmente conservabili, a differenza dei semplici file. Il piú noto e diffuso è la smart card, che spesso incapsula dispositivi di verifica un po’ piú complessi del mero file di chiave, ma ciò non la rende comunque altro che una chiave. Siamo pieni di smart card, in casa. Carta di credito, SIM del telefonino, chiave del set top box per il satellitare o il digitale terrestre, abbonamento del bus, badge d’accesso in albergo… Pur non rendendocene molto conto, usiamo una gran quantità di chiavi elettroniche.

Non sono però quasi per nulla diffusi i lettori di smart card per PC, fondamentalmente perché occupano davvero troppo spazio per essere integrati in qualunque PC. E, considerando anche i dispositivi mobili, l’utilizzo di una smart card per accedere a un sistema su web è il male.

Qui entrano in gioco le sperimentazioni di Google, recentemente annunciate, per rendere i suoi sistemi compatibili con delle chiavi hardware che siano collegabili al PC tramite porta USB, le YubiKey. Si tratta di piccoli dispositivi a forma di chiavetta USB, che permetteranno presto di accedere a GMail permettendo di sostituire la coppia username/password.

Le sperimentazioni con le YubiKey utilizzano una versione leggermente modificata di Chrome, evidenziando come basti il browser per il loro funzionamento, senza nessun programma aggiuntivo. Sarebbe molto fastidioso, infatti, dover installare programmi per far funzionare la chiavetta, come in genere accade in questi casi, su ogni macchina (casa, ufficio, amici, università…) dalla quale si voglia accedere alla posta.

Inoltre, si stanno svolgendo sperimentazioni per utilizzare come chiave d’accesso, unitamente a una password (la coppia chiave/password è molto piú sicura della coppia username/password), telefonini con integrati sistemi RFID, che permettono comunicazioni wireless a corto raggio, come l’NFC presente in molti terminali Android. NFC non è molto diffuso sui PC, ma occupa poco spazio fisico ed è poco costoso: è quindi verosimile una sua vasta diffusione nel prossimo futuro.

Gli svantaggi di un approccio con chiave hardware sono svariati, ma comunque molti meno di quelli portati dalle password. Lo svantaggio principale è il fatto che la chiave elettronica è molto piú sicura se non è estraibile dal dispositivo fisico. Ciò rende difficile il backup, ovvero la copia della chiave (un po’ come per le chiavi di casa: le migliori non possono essere copiate dal ferramenta).

Insomma, si aprono finalmente scenari di autenticazione alternativa anche su web, realtà che era rimasta piuttosto indietro rispetto ai vari ambiti nei quali le chiavi hardware si usano ormai da molti anni.

Via | Ars Technica

Leave a Reply

Lorenzo Breda Articolo scritto da

Studente di Informatica a Roma, si occupa di programmazione web sopratutto lato server, e di accessibilità del web. Utilizza e ama Debian GNU/Linux, e si interessa di fisica, fumetto, trekking e fotografia (gli ultimi due possibilmente abbinati). Collabora con Googlab da aprile 2012.

Contatta l'autore

Previous post:

Next post: