Saremo presto liberi dalla maledizione delle password?

Probabilmente non tutti sanno che almeno una persona su dieci della propria cerchia di amici, parenti e conoscenti utilizza una delle 25 password più facilmente hackerabili del mondo.

Sicurezza e limitazioni spesso vanno a braccetto, tuttavia a fronte del naturale desiderio di semplificare, molte persone lasciano che le proprie informazioni personali siano accessibili virtualmente da tutte le direzioni. D’altro canto, i più cauti si ritrovano con una quantità incredibile di password e codici infiniti da memorizzare, e alla fine ci si avvale dell’uno o l’altro promemoria altrettanto alla mercé del mondo. Ma è possibile che non ci sia una soluzione più semplice?

Questione di fiducia

Probabilmente sì, ma “più semplice” non è sufficiente: deve essere anche “più sicura” e “meno invasiva”. Ad esempio la soluzione che permette ad algoritmi di apprendere dalle proprie abitudini potrebbe risultare invitante: la password sarebbe necessaria solo quando il sistema non riconosce un comportamento o luogo abituale, che si tratti dell’orario di attività, dei luoghi visitati, della velocità di inserimento testi, ecc. Tuttavia consentire a Microsoft Cloud di raccogliere informazioni sui propri contenuti per compilare statistiche per alcuni può comportare un livello di trasparenza incompatibile con il concetto di protezione dei dati.

Fidarsi del sistema, come oggi fa la maggior parte della popolazione al di sotto dei 20 anni, non è da tutti. Se la generazione precedente non è così lassista quando si tratta di protezione dei dati, è perché ha ancora vivido nella memoria il tempo in cui misure di sicurezza più restrittive ricordavano agli internauti che l’hackeraggio non è una pratica riservata unicamente alle celebrità e che gli attacchi informatici diretti non avvengono solo nei film di spionaggio. È anche più semplice rilassarsi quando l’unica propria preoccupazione sono i borseggiatori: a livello aziendale però questo rischio cambia dimensione drasticamente.

Leggi anche:  Sicurezza, previsioni 2019: cyberattacchi sempre più devastanti e campagne difficili da rilevare

Meno password, più qualità

A qualsiasi livello ci si trovi, la protezione del dispositivo (tablet, computer o telefono) e la protezione dei dati implicano due password diverse. Per la prima si stanno già cercando soluzioni alternative: oltre a modelli semplici ma facilmente riconoscibili e a sensori per la lettura delle impronte digitali (qualora si fosse d’accordo sull’archiviazione delle proprie impronte, e tenendo in conto il fatto che non esiste opzione migliore), è ora possibile sostituire 10 numeri e le 26 lettere della tastiera con 12 emoji tra 2500 disponibili e selezionarne una sequenza di 4 o 6. Alta protezione E divertimento quindi, ma, di nuovo, una sola di queste password non è sufficiente! Tra le altre alternative divertenti, Nova Spatial sta attualmente sviluppando un sistema di autenticazione basato sul riconoscimento di una determinata area su una cartina mondiale digitale, le cui coordinate geografiche vengono utilizzate come codice la cui memorizzazione non è necessaria – basta sapere dove si trova un particolare albero, piscina, incrocio o altro.

Finché non sarà possibile affidarsi alla propria memoria visiva, tramite l’utilizzo di emoji e mappe, i password manager online continuano ad aumentare. Attraverso questo genere di casseforti virtuali come 1PassWord, LastPass o KeePass, basta un’unica “master password” per proteggere tutte le altre password archiviate e criptate. La master key è l’unica cosa di cui si ha bisogno, ma deve essere il più complicato possibile – una singola frase può già funzionare. Un esempio potrebbe essere “Apriti Sesamo!” (punteggiatura inclusa!).

L’altra faccia della biometria

A mali estremi, estremi rimedi: forse il futuro ci riserverà un processo di autenticazione più rigido tramite l’utilizzo di oggetti fisici? Un pollice, l’occhio, la voce o il viso sono i più noti esempi di una metodologia utilizzata sempre più di sovente per sbloccare i dispositivi, e che potrebbe finire con l’essere implementata anche per accedere ai profili delle piattaforme social. Gli hacker sostengono di aver raggirato il sistema di riconoscimento facciale dell’iPhone X tramite l’utilizzo di una maschera in lattice ultra-realistica, ma non ci si aspettano problemi generalizzati per i consumatori. Di conseguenza ci si aspetta un incremento dell’impiego della biometria e una maggior sofisticatezza nei prossimi decenni: si tratta semplicemente di sviluppare sensori per l’identificazione del DNA.

Leggi anche:  Red Team: gli esperti che effettuano compromissioni concordate delle reti aziendali

Questo genere di sensori sancirebbe la fine dei problemi causati da barbe o tagli di capelli che occasionalmente confondono i sistemi di riconoscimento facciale – l’unico altro problema potrebbe essere quello di avere un gemello cattivo! Jonathan Leblanc, Global Head of Developer Advocacy di Paypal, disse ancora nel 2015 che le password del futuro non saranno più scritte né memorizzate, ma piuttosto saranno impiantate, ingoiate o iniettate. Ha parlato anche di computer indossabili sotto forma di tatuaggio, sensori ECG che rilevano i dati del cuore o del riconoscimento delle vene e della pressione arteriosa. Probabilmente infallibile, ma piuttosto sgradevole… A tre anni di distanza, i tatuaggi digitali sembrano aver preso piede: il chimico Zhenan Bao, che ha recentemente sviluppato la e-skin, sottolinea le possibilità mediche e sociali di questo materiale elettronico connesso che coincide perfettamente con la pelle umana. Ma anche in questo caso ad un certo punto si ripresenterà l’ostico tema della confidenzialità: non saranno più le proprie impronte digitali ad essere utilizzate come password universali, bensì una sottile membrana elettronica posizionata sui polpastrelli e connessa allo smartphone. Da brividi, vero?

Il segreto dell’autenticazione a doppio fattore

Piuttosto che focalizzarsi sulla messa a punto di un’infallibile biometria al costo di chi sa quale invasione di privacy, probabilmente basterebbe pensare ad una semplificazione dell’autenticazione a doppio fattore. Questo sistema è già ampiamente utilizzato, soprattutto per i pagamenti online, che in genere richiedono un secondo codice inviato tramite SMS con una validità di qualche minuto. Il codice di conferma non solo può essere inviato sullo smartphone, ma anche a Google Watch, smartcard, applicazioni (per esempio con la soluzione Stormshield Data Security), token crittografato o chiavetta USB (come quella di sicurezza FIDO).

Leggi anche:  GDPR e aziende: solo un obbligo o anche un’opportunità?

Ciò comporta però l’obbligo di portare costantemente con sé l’oggetto necessario alla ricezione del secondo codice. È più probabile lasciare a casa lo smartphone che parti del proprio corpo, a meno che il device non diventi una sorta di nuovo organo in dotazione allo “homo numericus”. Come ultima alternativa si può sempre diventare un genio in grado di memorizzare dozzine di sequenze numeriche… Your choice!