I ricercatori IBM hanno sviluppato una nuova tecnologia di autenticazione “mobile” sicura, basata sullo standard radio noto come NFC (Near-Field Communication)
La tecnologia fornisce un livello di sicurezza supplementare quando per eseguire transazioni “mobili” si utilizzano un dispositivo abilitato per NCF e una smart card senza contatti (contactless), come nel caso di operazioni di banking online e di firme digitali richieste per accedere a un’intranet aziendale o a un cloud privato.
Secondo un nuovo rapporto di ABI Research, nel 2014 il numero di dispositivi NFC in uso supererà i 500 milioni. Questo dato abbinato al fatto che 1 miliardo di utenti di telefonia mobile si serviranno dei propri dispositivi per eseguire operazioni bancarie entro il 2017 creano un bersaglio sempre più interessante per gli hacker.
Per affrontare queste sfide, i ricercatori del centro di ricerca IBM di Zurigo, già ideatori del sistema operativo usato per proteggere centinaia di milioni di smart card, hanno messo a punto una soluzione più sofisticata, una cosiddetta autenticazione a due fattori.
Oggi sono già in molti a utilizzare l’autenticazione a due fattori, cioè due meccanismi di autenticazione complementari come ad esempio quando da un computer viene chiesto di fornire sia una password sia un codice di verifica inviato via SMS. I ricercatori IBM hanno applicato lo stesso principio utilizzando un PIN e una contactless smart card, che potrebbe essere una tessera bancomat emessa da una banca o una carta d’identità rilasciata da un datore di lavoro, per abilitare l’accesso all’intranet aziendale o a un cloud privato.
“La nostra tecnologia di autenticazione a due fattori, basata sull’Advanced Encryption Standard (AES), fornisce una soluzione di sicurezza solida, senza la necessità di imparare procedure complicate”, spiega Diego Ortiz-Yepes, mobile security scientist presso IBM Research.
Come funziona
E’ sufficiente che l’utente tenga la contactless smart card vicino al lettore NFC del dispositivo mobile e, una volta inserito il proprio codice di identificazione personale PIN, la carta genera un codice usa e getta, che viene poi inviato al server tramite il dispositivo mobile.
La tecnologia IBM si basa su una crittografia end-to-end tra la smart card e il server perchè utilizza la crittografia AES (Advanced Encryption Standard) definita dal National Institute of Standards & Technology (NIST). Le tecnologie attualmente disponibili prevedono che l’utente porti con sé un dispositivo supplementare, ad esempio un generatore di password causali, che è meno comodo e in alcuni casi meno sicuro.
Questa tecnologia, già disponibile per qualsiasi dispositivo Android 4.0 abilitato per NFC, si basa su IBM Worklight, una piattaforma applicativa mobile acquisita da IBM nel 2012. Gli aggiornamenti futuri riguarderanno altri telefoni abilitati a NFC, sulla base dei trend di mercato.
IBM MobileFirst
Il mobile computing rappresenta una delle più interessanti opportunità per il successo delle organizzazioni. Basato sull’esperienza di quasi un migliaio di clienti e con più di 10 acquisizioni legate al mobile computing negli ultimi quattro anni, IBM MobileFirst offre una risposta completa con le funzionalità di gestione, sicurezza e analytics necessarie per le imprese.
