Il regno della password è in crisi. Così da più parti arrivano soluzioni alternative, più sicure. Ai tempi del cloud computing, le password sembrano infatti insufficienti a proteggere il tesoro dei nostri dati personali, affidati a fornitori di servizi su internet. È emblematica la storia sfortunata del giornalista americano esperto di tecnologia Matt Honan. Un hacker, raccogliendo informazioni pubbliche presenti online su Honan, è arrivato a conoscere la password dell'account Apple Id, facendo finta di averla dimenticata, e così ha potuto cancellare a distanza tutti i dati iPhone di Honan. Non contento, è poi entrato nella sua casella Gmail.

Se il problema delle password non sarà risolto, casi come quello di Honan saranno sempre più frequenti nei prossimi mesi, considerata la diffusione dei servizi cloud.
«Il futuro della sicurezza è trovare modi efficaci per liberarci delle password», riassume, a Nòva24, Stefano Zanero, ricercatore esperto del tema al Politecnico di Milano. «A oggi ci sono tre fattori per l'autenticazione, cioè per dimostrare a un servizio che l'account a cui vogliamo accedere appartiene a noi –. Sono i segreti, gli oggetti o i dati biometrici», continua Zanero. I segreti sono le password, appunto, e le combinazioni di domande-risposte. Gli oggetti sono i token, per esempio quegli apparecchi e-banking genera pin, associati al nostro conto corrente. I dati biometrici più usati sono ora le impronte digitali e l'iride; ma perlopiù sono utilizzati per accedere a un computer, non a un servizio online. «È improbabile un futuro in cui la biometria serva per autenticarsi su internet: per la difficoltà di registrarsi, il costo degli apparati, la loro incompatibilità e scarsa mobilità. Visto che le password stanno mostrando quanto sono vulnerabili, non ci restano che i token», aggiunge.

Il token che abbiamo tutti è il cellulare. Stanno facendo strada quindi i servizi a "doppia autenticazione". Richiedono di inserire non solo la password ma anche un codice che arriva via sms – al numero indicato durante la registrazione - ogni volta che l'utente accede con un nuovo dispositivo. Bisogna quindi avere in mano il cellulare con quel numero per poter leggere il codice. Questo sistema è ora adottato da Google, Paypal e Yahoo! (tra gli altri), ma è facoltativo (gli utenti devono attivarlo, come alternativa alla semplice password). È destinato però a diffondersi: Microsoft ha comprato a ottobre Phonefactor, azienda specializzata in sistemi a doppia autenticazione, e afferma che li integrerà nelle proprie tecnologie.

Ci sono anche servizi indipendenti che cercano di diffondere questi sistemi. Account Chooser (della OpenID Foundation) consente di accedere a servizi di terze parti tramite un unico account (di Google, per esempio) su cui abbiamo attivato la doppia autenticazione. OneID si offre invece come strumento per legare specifici servizi a specifici terminali (abilitando solo questi ultimi all'accesso).
Una cosa è certa: adesso serve l'impegno degli utenti, che attivino dove possibile la doppia autenticazione, per mandare in pensione le password semplici. E rendere così il web un po' più a prova di ladri.

©RIPRODUZIONE RISERVATA