Uno step fisico


Sull’utilità dell’utilizzo di verifica a due fattori per le password di accesso ai servizi abbiamo già discusso innumerevoli volte.
Reimpostare una password, in molti casi, si rivela fin troppo semplice e un attacker che dovesse riuscire ad accedere all’indirizzo email di un utente, potrebbe potenzialmente compromettere molti, se non tutti, i suoi account. L’autenticazione a due fattori permetti di combinare una seconda informazione con la password in modo da rendere tentativi di attacco più difficili.
Tipicamente, una autenticazione a due fattori potrebbe essere realizzata combinando una password con un codice usa e getta inviato via SMS oppure generato da una app installata sullo smartphone.

Qualche organizzazione, tipicamente banche, usano già da qualche anno quelli che si definiscono disconnected tokens ovvero piccoli dispositivi elettronici che forniscono codici usa e getta su un display, normalmente usando una modalità time-based basata su un oscillatore al quarzo integrato (la pagina Multi-factor authentication sulla Wikipedia è molto esaustiva e interessante da leggere a questo proposito).
Una notizia più recente è invece la possibilità di utilizzare l’autenticazione a due fattori di Google con un token fisico non proprietario e con Chrome.

Questa funzionalità è disponibile dalla versione 38 in poi di Chrome utilizzando un token USB compatibile con lo standard FIDO Universal 2nd Factor (U2F).
FIDO Alliance è una organizzazione che ha uno scopo preciso:

The Mission of the FIDO Alliance is to change the nature of online authentication by: […] Developing technical specifications that define an open, scalable, interoperable set of mechanisms that reduce the reliance on passwords to authenticate users.[…]

Di questa allenza fanno parte grandi nomi dell’IT e dell’industria in generale, tra cui appunto Google, Microsoft, Paypal, Bank of America, Visa, BlackBerry, Mastercard, RSA e molti altri. Si spera (e si presume) quindi che produrrà soluzioni standard aperte, ampiamente condivise e utilizzate da questi importanti attori per i loro servizi e di conseguenza offerti agli utenti in maniera interoperabile e di facile utilizzo.

Tornando all’utilizzo specifico di Google, nella pagina dedicata viene spiegato dove acquistare una USB compatibile con U2F e come configurare il sistema.
Naturalmente questo meccanismo non è una soluzione universale in quanto ha ovviamente i suoi punti deboli, non ultimo la necessità di disporre di una porta USB: requisito banale su un personal di ogni genere e grado, ma difficile (se non impossibile) da soddisfare su dispositivi mobili come smartphone o tablet. In questi casi si torna di nuovo alla autenticazione con codice usa e getta.

Personalmente non sono del tutto convinto che la strada del token fisico USB sia quella corretta per fare il salto di qualità nella autenticazione (a mio modesto parere sarebbero preferibili i due fattori con Vein matching dato che, ora o in pochi anni, dispositivi di rilevazione del genere saranno disponibili in dimensioni minuscole e a costi marginali), ma dobbiamo tutti essere soddisfatti del fatto che ci sia fermento in ambito sicurezza e autenticazione e che questi campi siano finalmente riconosciuti con fondamentali per tutti gli utenti, non solo stramberie complicate e inutili dedicate solo agli addetti ai lavori.


Una replica a “Uno step fisico”

  1. […] Abbiamo già accennato alla FIDO e a qualche prodotto relativo a essa: Win10 è completamente compatibile con gli standard di questa associazione relativi alla autenticazione multi-fattore. La biometria diventa ora uno strumento utile e facilmente utilizzabile: il lettore di impronte digitali è abbastanza comune su molti laptop e può essere usato ora out-of-the-box con Win10. Anche il riconoscimento facciale o dell’iride è realtà trmite l’uso di telecamere con tencologia infrarossa come la tecnologia Intel RealSense. […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.