Uno step fisico

Sull’utilità dell’utilizzo di verifica a due fattori per le password di accesso ai servizi abbiamo già discusso innumerevoli volte.
Reimpostare una password, in molti casi, si rivela fin troppo semplice e un attacker che dovesse riuscire ad accedere all’indirizzo email di un utente, potrebbe potenzialmente compromettere molti, se non tutti, i suoi account. L’autenticazione a due fattori permetti di combinare una seconda informazione con la password in modo da rendere tentativi di attacco più difficili.
Tipicamente, una autenticazione a due fattori potrebbe essere realizzata combinando una password con un codice usa e getta inviato via SMS oppure generato da una app installata sullo smartphone.

Qualche organizzazione, tipicamente banche, usano già da qualche anno quelli che si definiscono disconnected tokens ovvero piccoli dispositivi elettronici che forniscono codici usa e getta su un display, normalmente usando una modalità time-based basata su un oscillatore al quarzo integrato (la pagina Multi-factor authentication sulla Wikipedia è molto esaustiva e interessante da leggere a questo proposito).
Una notizia più recente è invece la possibilità di utilizzare l’autenticazione a due fattori di Google con un token fisico non proprietario e con Chrome.

Questa funzionalità è disponibile dalla versione 38 in poi di Chrome utilizzando un token USB compatibile con lo standard FIDO Universal 2nd Factor (U2F).
FIDO Alliance è una organizzazione che ha uno scopo preciso:

The Mission of the FIDO Alliance is to change the nature of online authentication by: […] Developing technical specifications that define an open, scalable, interoperable set of mechanisms that reduce the reliance on passwords to authenticate users.[…]

Di questa allenza fanno parte grandi nomi dell’IT e dell’industria in generale, tra cui appunto Google, Microsoft, Paypal, Bank of America, Visa, BlackBerry, Mastercard, RSA e molti altri. Si spera (e si presume) quindi che produrrà soluzioni standard aperte, ampiamente condivise e utilizzate da questi importanti attori per i loro servizi e di conseguenza offerti agli utenti in maniera interoperabile e di facile utilizzo.

Tornando all’utilizzo specifico di Google, nella pagina dedicata viene spiegato dove acquistare una USB compatibile con U2F e come configurare il sistema.
Naturalmente questo meccanismo non è una soluzione universale in quanto ha ovviamente i suoi punti deboli, non ultimo la necessità di disporre di una porta USB: requisito banale su un personal di ogni genere e grado, ma difficile (se non impossibile) da soddisfare su dispositivi mobili come smartphone o tablet. In questi casi si torna di nuovo alla autenticazione con codice usa e getta.

Personalmente non sono del tutto convinto che la strada del token fisico USB sia quella corretta per fare il salto di qualità nella autenticazione (a mio modesto parere sarebbero preferibili i due fattori con Vein matching dato che, ora o in pochi anni, dispositivi di rilevazione del genere saranno disponibili in dimensioni minuscole e a costi marginali), ma dobbiamo tutti essere soddisfatti del fatto che ci sia fermento in ambito sicurezza e autenticazione e che questi campi siano finalmente riconosciuti con fondamentali per tutti gli utenti, non solo stramberie complicate e inutili dedicate solo agli addetti ai lavori.

Autore: Luca Mauri

Prima di tutto un Geek e un Trekker, Luca Mauri lavora come IT Manager. Entusiasta della esplorazione spaziale e della scienza in generale. È un lettore vorace e un fotografo amatoriale. Fa parte della piccola schiera degli INTJ.

Un pensiero riguardo “Uno step fisico”

Spazio per un commento