2014/11/07

Usare una chiave al posto di una password

Credit: Yubico
La sicurezza è per molti una scocciatura insostenibile: ricordarsi password differenti per decine di siti è una sfida da mal di testa immediato, che spinge spesso a semplificazioni insicure che poi rendono facile il furto d'identità tramite phishing e l'accesso ai dati privati.

Per cercare di ovviare al problema del furto di password c'è già l'autenticazione a due fattori (o verifica in due passaggi), che però comporta comunque una complicazione supplementare: è difficile da impostare e da gestire. Ora Google sta proponendo una soluzione alternativa: una chiave fisica.

Si tratta di una speciale chiavetta USB che rispetta lo standard aperto FIDO U2F, sottoscritto da Google e Microsoft e circa 120 altre aziende (ma non da Apple), e si attiva soltanto dopo aver verificato che il sito sia autentico e non uno dei tanti siti-clone che cercano di rubare nomi utente e password. L'utente, invece di dover digitare un codice, preme un tasto sulla chiavetta inserita in una porta USB del computer. Tutto qui: il phishing diventa un ricordo.

Per ora la chiavetta, disponibile in vari paesi a un prezzo molto abbordabile, è concepita per funzionare con i servizi di Google e soltanto se si usa Chrome come browser, ma nulla vieta che altri fornitori di servizi adottino la stessa soluzione. Una chiavetta sola conterrebbe tutti i codici crittografici di autenticazione dell'utente.

La chiavetta contiene uno speciale chip, il Secure Element, basato sulla tecnologia delle smart card, che custodisce in modo sicuro le chiavi crittografiche. Quando si attiva la chiavetta per la prima volta vengono generate due di queste chiavi: una pubblica, inviata al fornitore di servizio, e una privata, che resta sulla chiavetta. Il sito visitato manda alla chiavetta un challenge cifrato: la chiavetta lo decifra e poi risponde con un token di autenticazione firmato.

L'idea della chiave fisica al posto della password stronca la maggior parte degli attacchi da remoto ma ha comunque delle limitazioni: bisogna avere con sé la chiave, ovviamente, e smarrirla o farsela rubare può essere un problema. Inoltre non tutti i dispositivi hanno una porta USB, e in alcuni ambienti di lavoro le porte USB ci sono ma sono disabilitate o ne è vietato l'uso appunto per ragioni di sicurezza. Ma per molti utenti una chiave fisica potrebbe essere una semplificazione salvavita.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili