Lunedì 23 Dicembre 2024

Addio password
arriva la "chiave"

Facebook, Twitter e Linkedin,. Ma anche l'account di posta e quelli dei servizi bancari. Per non parlare di Amazon, eBay, conti telefonici e e-trading. Sono decine le password che negli anni del web bisogna mandare a mente, tanto che si corre il rischio di dimenticarne qualcuna, magari quella piu' utile in un'emergenza. E si finisce cosi' per appuntarle tutte su un post-it da tenere vicino allo schermo del computer o, peggio, di usare la stessa per piu' account. La tutela dell'accesso a servizi bancari e della privacy sui social network e' uno dei fulcri dell'era digitale, l'incubo dei clienti dell'e-commerce e una manna dal cielo per i produttori di software di sicurezza.
  La prima e piu' importante azienda a sperimentare una soluzione alternativa alla fallace memoria dell'utente o al foglietto giallo e' Google, che ha gia' adottato Yubikey, un hardware prodotto dalla svedese Yubico.
Secondo la rivista 'Wired', il 2012 potrebbe essere stato l'ultimo anno dell'era delle password. "Non sono piu' sufficienti a tenere al sicuro gli utenti" affermano i responsabili della sicurezza di Google, Eric Grosse e Mayank Upadhyay. Per questo stanno sperimentando alcuni prodotti di casa Yubico come la Yubikey Nano una 'chiavetta' grande come l'unghia di un pollice che contiente una chiave crittografica che, una volta inserita in una porta usb, permette di generare una password statica o dinamica e avere accesso ai propri account. Alcuni siti e servizi, come la posta di Gmail, pernettono di accedere in modo molto semplice, altri richiedono qualche passaggio in piu' per la configurazione. Ma in tuti i casi con pochi passi e una spesa molto modesta ci si puo' garantire la sicuezza praticamente assoluta. "I nostri sistemi consumer", dice Tommaso Galassi De Orchi, ingegnere per la sicurezza informatica a Yubico, "prevedono l'interazione fisica e non solo digitale dell'utente e questo mette al riparo dall'azione degli hacker.
Nel contempo, anche in caso di furto della chiavetta, bisogna essere in possesso di informazioni che soltanto l'utente puo' avere per accedere agli account protetti. In sostanza, se l'account e' configurato correttamente, anche se si perde la chiavetta non accade nulla perche' a un eventuale attaccante manca la password. La Yubikey e' un "two-factor authentication" token che puo' funzionare anche come three-factor. Questo significa che per accedere a un servizio serve qualcosa che si sa - la password - e qualcosa che si ha: la Yubikey. Nel caso di three factor servono altri elementi come la scansione dell'iride o delle vene della mano.
  In caso di furto della chiavetta, noi offriamo un servizio on-line chiamato 'revoke': si puo' disabilitarla e renderla inutile. "Gli esperti di sicurezza - spiega all'Agi l'amministratore delegato di Yubico, Stina Ehrensvard - concordano che il modo migliore di proteggere l'identita' digitale dell'utente e' di trasferire il log-in segreto dal computer o dai propri dispositivi mobili ad una chiave di sicurezza esterna come la YubiKey. Questo dispositivo permette agli utenti di fare il log-in ad un crescente numero di applicazioni in tutta sicurezza.
Le applicazioni attualmente piu' richieste sono gestori come LastPass, Password Safe e Passpack, che permettono una facile e sicura gestione delle password per accedere a servizi online". Per usare una Yubikey "I gestori di password richiedono una competenza tecnica minima mentre altre applicazioni ne richiedono di piu'". Ehrensvard poi precisa che "Yubikey funziona sugli iPad attraverso il Camera Connection Kit. Si puo' usare YubiKey NEO su oltre 100 milioni di smarphone attualmente disponibili sul mercato e dotati di sistema NFC (Near Field Communication). Per il momento, la Yubikey non funziona con gli iPhone, anche se esistono provider e applicazioni che offrono sistemi di log-in alternativi come backup al YubiKey, per esempio per SMS. Ma perche' la Yubikey dovrebbe riuscire in questo mercato? "C'era anche un tempo in cui non si usavano le cinture di sicurezza nelle automobili - risponde Ehrensvard -.
Nel momento in cui non e' stato piu' possibile negare il grande numero di incidenti mortali, si invento' la facile da usare cintura di sicurezza a tre punti di ancoraggio, finalmente incentivando l'industria automobilistica, i governi e gli automobilisti ad adottarla.
  Adesso ci troviamo di fronte allo stesso problema con le moderne 'autostrade digitali', dove la nostra vita digitale viene sempre piu' spesso messa a repentaglio. E la situazione e' destinata a peggiorare. YubiKey offre una ineguagliabile e facile protezione ai nostri dispositivi mobili contro l'attacco di virus e minacce di prossima generazione alla loro sicurezza.
  Tuttavia, per diffonderla a miliardi di utenti internet, sara' prima necessario potere utilizzare YubiKey per accedere ad un numero illimitato di servizi. Google e Yubico stanno ora collaborando per raggiungere questo scopo". Che spesa bisogna preventivare per mettere in sicurezza i propri account? "La versione standard di Yubikey - risponde - costa 25 dollari. La Yubikey NEO ne costa 50. Si tratta di una spesa una tantum visto che il dispositivo e' praticamente indistruttibile".
"La Yubico - conclude Ehrensvard - e' stata prescelta per costruire i primi dispositivi conformi al nuovo protocollo di sicurezza e al sistema di autenticazione che Google sta collaudando. La soluzione proposta e' in grado di sostituire il sistema di log-in attraverso l'uso di una password e di convertirsi in un nuovo standard identitario a livello globale.
  Abbinandolo a una semplice password e al semplice tocco di un dito si potra' usare YubiKey per accedere ad ogni aspetto della vita su internet: email, servizi bancari e cartelle sanitarie.
  O magari votare online per tuo prossimo presidente del consiglio!". 

Facebook, Twitter e Linkedin,. Ma anche l'account di posta e quelli dei servizi bancari. Per non parlare di Amazon, eBay, conti telefonici e e-trading. Sono decine le password che negli anni del web bisogna mandare a mente, tanto che si corre il rischio di dimenticarne qualcuna, magari quella piu' utile in un'emergenza. E si finisce cosi' per appuntarle tutte su un post-it da tenere vicino allo schermo del computer o, peggio, di usare la stessa per piu' account. 

La tutela dell'accesso a servizi bancari e della privacy sui social network e' uno dei fulcri dell'era digitale, l'incubo dei clienti dell'e-commerce e una manna dal cielo per i produttori di software di sicurezza.  La prima e piu' importante azienda a sperimentare una soluzione alternativa alla fallace memoria dell'utente o al foglietto giallo e' Google, che ha gia' adottato Yubikey, un hardware prodotto dalla svedese Yubico.

Secondo la rivista 'Wired', il 2012 potrebbe essere stato l'ultimo anno dell'era delle password. "Non sono piu' sufficienti a tenere al sicuro gli utenti" affermano i responsabili della sicurezza di Google, Eric Grosse e Mayank Upadhyay. Per questo stanno sperimentando alcuni prodotti di casa Yubico come la Yubikey Nano una 'chiavetta' grande come l'unghia di un pollice che contiente una chiave crittografica che, una volta inserita in una porta usb, permette di generare una password statica o dinamica e avere accesso ai propri account. Alcuni siti e servizi, come la posta di Gmail, pernettono di accedere in modo molto semplice, altri richiedono qualche passaggio in piu' per la configurazione. Ma in tuti i casi con pochi passi e una spesa molto modesta ci si puo' garantire la sicuezza praticamente assoluta. "I nostri sistemi consumer", dice Tommaso Galassi De Orchi, ingegnere per la sicurezza informatica a Yubico, "prevedono l'interazione fisica e non solo digitale dell'utente e questo mette al riparo dall'azione degli hacker.

Nel contempo, anche in caso di furto della chiavetta, bisogna essere in possesso di informazioni che soltanto l'utente puo' avere per accedere agli account protetti. In sostanza, se l'account e' configurato correttamente, anche se si perde la chiavetta non accade nulla perche' a un eventuale attaccante manca la password. La Yubikey e' un "two-factor authentication" token che puo' funzionare anche come three-factor. Questo significa che per accedere a un servizio serve qualcosa che si sa - la password - e qualcosa che si ha: la Yubikey. Nel caso di three factor servono altri elementi come la scansione dell'iride o delle vene della mano.  In caso di furto della chiavetta, noi offriamo un servizio on-line chiamato 'revoke': si puo' disabilitarla e renderla inutile. 

"Gli esperti di sicurezza - spiega all'Agi l'amministratore delegato di Yubico, Stina Ehrensvard - concordano che il modo migliore di proteggere l'identita' digitale dell'utente e' di trasferire il log-in segreto dal computer o dai propri dispositivi mobili ad una chiave di sicurezza esterna come la YubiKey. Questo dispositivo permette agli utenti di fare il log-in ad un crescente numero di applicazioni in tutta sicurezza.
Le applicazioni attualmente piu' richieste sono gestori come LastPass, Password Safe e Passpack, che permettono una facile e sicura gestione delle password per accedere a servizi online". Per usare una Yubikey "I gestori di password richiedono una competenza tecnica minima mentre altre applicazioni ne richiedono di piu'". Ehrensvard poi precisa che "Yubikey funziona sugli iPad attraverso il Camera Connection Kit. Si puo' usare YubiKey NEO su oltre 100 milioni di smarphone attualmente disponibili sul mercato e dotati di sistema NFC (Near Field Communication). Per il momento, la Yubikey non funziona con gli iPhone, anche se esistono provider e applicazioni che offrono sistemi di log-in alternativi come backup al YubiKey, per esempio per SMS. Ma perche' la Yubikey dovrebbe riuscire in questo mercato? "C'era anche un tempo in cui non si usavano le cinture di sicurezza nelle automobili - risponde Ehrensvard -.
Nel momento in cui non e' stato piu' possibile negare il grande numero di incidenti mortali, si invento' la facile da usare cintura di sicurezza a tre punti di ancoraggio, finalmente incentivando l'industria automobilistica, i governi e gli automobilisti ad adottarla.  Adesso ci troviamo di fronte allo stesso problema con le moderne 'autostrade digitali', dove la nostra vita digitale viene sempre piu' spesso messa a repentaglio. E la situazione e' destinata a peggiorare. YubiKey offre una ineguagliabile e facile protezione ai nostri dispositivi mobili contro l'attacco di virus e minacce di prossima generazione alla loro sicurezza.  Tuttavia, per diffonderla a miliardi di utenti internet, sara' prima necessario potere utilizzare YubiKey per accedere ad un numero illimitato di servizi. Google e Yubico stanno ora collaborando per raggiungere questo scopo". Che spesa bisogna preventivare per mettere in sicurezza i propri account? "La versione standard di Yubikey - risponde - costa 25 dollari. La Yubikey NEO ne costa 50. Si tratta di una spesa una tantum visto che il dispositivo e' praticamente indistruttibile".

"La Yubico - conclude Ehrensvard - e' stata prescelta per costruire i primi dispositivi conformi al nuovo protocollo di sicurezza e al sistema di autenticazione che Google sta collaudando. La soluzione proposta e' in grado di sostituire il sistema di log-in attraverso l'uso di una password e di convertirsi in un nuovo standard identitario a livello globale.  Abbinandolo a una semplice password e al semplice tocco di un dito si potra' usare YubiKey per accedere ad ogni aspetto della vita su internet: email, servizi bancari e cartelle sanitarie.  O magari votare online per tuo prossimo presidente del consiglio!". 

leggi l'articolo completo