La password non basta più, arriva il token

Il regno della password è in crisi. Così da più parti arrivano soluzioni alternative, più sicure. Ai tempi del cloud computing, le password sembrano infatti insufficienti a proteggere il tesoro dei nostri dati personali, affidati a fornitori di servizi su internet. È emblematica la storia sfortunata del giornalista americano esperto di tecnologia Matt Honan. Un hacker, raccogliendo informazioni pubbliche presenti online su Honan, è arrivato a conoscere la password dell'account Apple Id, facendo finta di averla dimenticata, e così ha potuto cancellare a distanza tutti i dati iPhone di Honan. Non contento, è poi entrato nella sua casella Gmail.
Se il problema delle password non sarà risolto, casi come quello di Honan saranno sempre più frequenti nei prossimi mesi, considerata la diffusione dei servizi cloud.
«Il futuro della sicurezza è trovare modi efficaci per liberarci delle password», riassume, a Nòva24, Stefano Zanero, ricercatore esperto del tema al Politecnico di Milano. «A oggi ci sono tre fattori per l'autenticazione, cioè per dimostrare a un servizio che l'account a cui vogliamo accedere appartiene a noi –. Sono i segreti, gli oggetti o i dati biometrici», continua Zanero. I segreti sono le password, appunto, e le combinazioni di domande-risposte. Gli oggetti sono i token, per esempio quegli apparecchi e-banking genera pin, associati al nostro conto corrente. I dati biometrici più usati sono ora le impronte digitali e l'iride; ma perlopiù sono utilizzati per accedere a un computer, non a un servizio online. «È improbabile un futuro in cui la biometria serva per autenticarsi su internet: per la difficoltà di registrarsi, il costo degli apparati, la loro incompatibilità e scarsa mobilità. Visto che le password stanno mostrando quanto sono vulnerabili, non ci restano che i token», aggiunge.
Il token che abbiamo tutti è il cellulare. Stanno facendo strada quindi i servizi a "doppia autenticazione". Richiedono di inserire non solo la password ma anche un codice che arriva via sms – al numero indicato durante la registrazione - ogni volta che l'utente accede con un nuovo dispositivo. Bisogna quindi avere in mano il cellulare con quel numero per poter leggere il codice. Questo sistema è ora adottato da Google, Paypal e Yahoo! (tra gli altri), ma è facoltativo (gli utenti devono attivarlo, come alternativa alla semplice password). È destinato però a diffondersi: Microsoft ha comprato a ottobre Phonefactor, azienda specializzata in sistemi a doppia autenticazione, e afferma che li integrerà nelle proprie tecnologie.
Ci sono anche servizi indipendenti che cercano di diffondere questi sistemi. Account Chooser (della OpenID Foundation) consente di accedere a servizi di terze parti tramite un unico account (di Google, per esempio) su cui abbiamo attivato la doppia autenticazione. OneID si offre invece come strumento per legare specifici servizi a specifici terminali (abilitando solo questi ultimi all'accesso).
Una cosa è certa: adesso serve l'impegno degli utenti, che attivino dove possibile la doppia autenticazione, per mandare in pensione le password semplici. E rendere così il web un po' più a prova di ladri.
© RIPRODUZIONE RISERVATA

come tutelarsi dai furti
1. Usa password originali
Inventa password complicate, cambiale spesso e usane diverse
per i vari servizi.
Così riduci il rischio
che te le rubino.
E che con una sola password sottratta possano poi accedere a tanti altri account.

2. Usa l'autenticazione a due fattori
Google è uno dei servizi che permette un'autenticazione doppia, con password e con token. Si riceve un sms da Google con un codice per autorizzare un terminale
ad accedere a Gmail
(e agli account collegati).
3. Attento ai trojan
Difendi le password
dai trojan con cui i pirati
ce le possono spiare.
Aggiorna tutte
le componenti del sistema, l'antivirus. Prudenza quando navighi, su ciò che clicchi e scarichi dal web. Un trojan può nascondersi in molte cose.

4. Fai una copia di backup
Ricorda che se ci rubano
le credenziali di un servizio cloud, ci possono cancellare tutti i dati contenuti.
Facciamo dunque
un backup delle foto,
dei file e documenti importanti affidati al
cloud computing.

5. Oneid.com e Accountchooser.net
Ci sono nuovi servizi, come Oneid e Accountchooser, che
ci permettono di associare, a un account, specifici terminali
in nostro possesso e
così limitare la possibilità di accessi indesiderati