I continui attacchi hacker e i massicci furti di credenziali hanno dimostrato non solo che c'è ancora da lavorare molto sulla sicurezza informatica, ma anche che le password non possono essere l'unico strumento per proteggere i nostri dati personali. Nonostante i trucchi e le misure che si possano adottare per creare password sicure, i nostri profili personali – e i dati che vi sono contenuti – sono sempre a rischio attacco hacker: la maggior parte dei furti password sono frutto di falle a livello di database del gestore del servizio (vedi, ad esempio, i casi Yahoo! e Twitter). Scegliere una password sicura, come una passphrase, realizzata con numeri, lettere e simboli è una buona opzione per la sicurezza ma potrebbe non essere sufficiente.
Un problema che si è tentato di affrontare approntando metodi di identificazione alternativi alle password. Su smartphone (e, pian piano, anche sui laptop) sono state adottate varie tecnologie biometriche: lo smartphone di impronte digitali è ormai montato sulla stragrande maggioranza degli smartphone in commercio, mentre il riconoscimento facciale inizia a far capolino nei dispositivi di fascia alta e medio-alta (anche sui computer, grazie a Windows Hello).
Per questo motivo, e decine di altri, il futuro delle password sembra essere più fosco che mai. Secondo molti esperti di sicurezza informatica, nel breve periodo le chiavi d'accesso cederanno definitivamente il passo alla biometria, ma non saranno necessariamente le impronte digitali, o i nostri tratti somatici, a essere utilizzate per sbloccare smartphone, PC o accedere alla posta elettronica. Alcuni studi, ad esempio, dimostrano come usare il battito cardiaco a mo' di password, mentre in altre occasioni potrebbe bastare
Wearable e battito cardiaco
Al giorno d'oggi molte persone indossano dei fitness tracker o dei wearable per la salute che monitorano costantemente il battito cardiaco. Questi dati possono essere facilmente riutilizzati come chiave d'accesso a servizi online o per i pagamenti. Nello specifico il battito del nostro cuore a breve verrà usato per sbloccare gli smartphone, accedere ai social network e persino per aprire porte e armadietti in ufficio o in palestra. Al momento l'unico problema, non certo di poco peso, è l'instabilità del battito cardiaco. Durante la giornata per stanchezza, stress o cambi di umore il nostro cuore modifica il proprio battito. E alcune variazioni molto accentuate potrebbero confondere il wearable e non permetterci di accedere ai servizi online con il nostro battito.
Sul mercato esiste già un dispositivo smart indossabile che, tra le proprie funzioni, offre la possibilità di usare il battito cardiaco come password. Si chiama Nymi Band e può essere sincronizzato via Bluetooth o NFC così da sfruttare il rilevamento del battito cardiaco come chiave d'accesso per profili social o sistema di sblocco per portatili e smartphone.
Tutto può essere una password con Pixie
Pur non essendo una vera e propria alternativa alle password, l'autenticazione a due fattori è vista da molti come una delle modalità più semplici da implementare per rendere più sicuri i nostri account. Questo sistema prevede l'utilizzo di una seconda chiave d'accesso, generata casualmente da un sistema remoto (e ricevuta via SMS) o da app installate sullo smartphone, per poter accedere al proprio profilo social o alla casella di posta elettronica. Per esempio, se dobbiamo accedere a Facebook potrebbe arrivarci anche un codice sullo smartphone da inserire oltre la password. Oppure se dobbiamo entrare su Twitter potremo ricevere un'e-mail contenente una seconda password temporanea.
L'autenticazione a due fattori però può funzionare anche in maniera più fisica, così come sta cercando di dimostrare un gruppo di ricercatori dell'International University della Florida, negli Stati Uniti. Gli scienziati statunitensi stanno infatti terminando di mettere a punto Pixie, alternativa alla verifica a due passaggi "classica". Con questo nuovo sistema potremo utilizzare direttamente la fotocamera del nostro smartphone per accedere ai nostri profili in Rete: Pixie permette di fotografare qualsiasi oggetto e trasformarlo in una chiave d'accesso. Che si tratti di una scarpa, una forchetta, un anello o qualsiasi altro accessorio poco importa: dopo averlo fotografato una prima volta per "identificarlo", ci basterà inquadrarlo per accedere ai nostri profili.
I ricercatori garantiscono che in nessun modo un hacker potrà riprodurre quell'oggetto perché Pixie salva ogni minimo dettaglio come un graffio o una macchia su un oggetto per renderlo il meno duplicabile possibile. Nei test già eseguiti solo lo 0.09% delle autenticazioni è stata fasulla. Ovvero si è riusciti ad accedere anche con un "token" diverso da quello scelto e salvato inizialmente. Come funzionerà Pixie sugli smartphone? Semplice, si potrà installare come una semplice applicazione per poi iniziare ad essere utilizzata. Ogni immagine che funge da password è salvata localmente nel telefono in modo tale da non essere messa a rischio da furti di grossi database da parte degli hacker.
13 maggio 2018