La Fast Identity Online Alliance sta lavorando su un approccio alternativo a ID e password, fondato su un software da scaricare sul dispositivo mobile dell’utente.
Il momento della verità arriva per molti utenti quando tre piccole, ma scoraggianti, parole compaiono sul loro computer o dispositivo mobile: nome utente e password. Cercare di ricordare password e PIN, con varie sequenze obbligatorie di lettere maiuscole e minuscole e combinazioni di numeri, impostate sui diversi account non è facile per molte persone. Ma cosa succede se gli utenti possono autenticarsi usando le loro impronte digitali o un altro identificatore univoco sul proprio dispositivo mobile?
Un esperto in materia, il CISO (Chief Information Security Officer) di PayPal Michael Barrett, sostiene che molti comunemente utilizzano password deboli per autenticarsi al proprio home banking o ad altri servizi online.
Un mondo senza password può essere difficile da immaginare, ma Internet sta andando in questa direzione, sostiene Barrett: “Le password sono un sistema di autenticazione inefficace per gli utenti, le organizzazioni e, più in generale l’ecosistema dei soggetti coinvolti”.
Mentre fino a 10 anni fa l’utente in media doveva ricordarsi al massimo 4 o 5 password e nomi utente, oggi generalmente ha 25 account separati – tra situazioni d’affari e personali – con otto diversi login e password. E mentre alcuni siti web, come quello del conto corrente bancario e i siti di shopping online, ora richiedono password più sofisticate, con combinazioni di lettere e numeri tali da garantire una maggiore sicurezza, gli utenti sono sempre più frustrati da questo processo. “A chiunque è capitato almeno una volta di bloccare il proprio conto corrente – ha dichiarato Barrett – e gli utenti sono sempre più frustrati”.
La Fast Identity Online Alliance (FIDO) è un gruppo fondato nel 2012 per affrontare la questione della creazione e della gestione di una pluralità di ID e password online, così come la mancanza di interoperabilità tra i metodi di autenticazione. La FIDO si propone di rivoluzionare il modo in cui viene eseguita l’autenticazione online, per renderla più sicura ma al contempo più facile da gestire per l’utente finale.
L’alleanza ha sostenuto che le password non saranno ancora a lungo il metodo di autenticazione in uso perché stanno di fatto impedendo lo sviluppo di Internet. Anche quando gli utenti credono di aver scelto una password unica, in realtà molti stanno creando password deboli e cercano di riutilizzarle il più spesso possibile, ha dichiarato Barrett, che è anche Presidente della FIDO, aumentando quindi i rischi di furti di identità o, peggio, di soldi.
L’industria ha bisogno di metodi di autenticazione più forti, ma questo dovrebbe essere ottenuto senza ripercussioni sugli utenti. “I nuovi metodi e sistemi di autenticazione dovranno essere sicuri, ma anche il più semplici possibili”, ha osservato Barrett.
Impossibile una risposta unica al problema?
L’ubiquità dei dispositivi mobili ha spinto la domanda di una soluzione migliore per l’autenticazione, ma gli esperti hanno scoperto che al momento non vi è una risposta univoca al problema.
L’alleanza FIDO sta lavorando su un approccio alternativo, fondato su un software da scaricare sul dispositivo dell’utente. Il software sarà in grado di autenticare l’utente identificando il dispositivo stesso e inviando un messaggio, attraverso il protocollo di sicurezza sviluppato da Fido, al server di una terza parte come PayPal, ha spiegato Barrett.
“Una volta che un utente entra nel nostro sito, saremo in grado di fare il ping di quel dispositivo grazie a un client FIDO in grado di assicurare che il dispositivo è in uso da parte di un utente registrato. In questo modo, non sarà necessario dover ricorrere alle password per dimostrarlo”.
L’anno scorso, Apple ha acquisito FingerWorks, azienda che sviluppa software per il riconoscimento dei gesti, alimentando le voci che la società rilascerà un nuovo telefono con un lettore di impronte digitali già entro la fine di quest’anno. Anche la proiezione retinica offre un modo alternativo efficace per identificare un utente registrato. “Le fotocamere frontali sugli smartphone hanno ormai raggiunto una qualità tale da riuscire a scattare foto precise e dettagliate degli occhi o, in generale, tali da supportare a dovere i software di riconoscimento facciale”, si è detto convinto l’esperto.
Qualunque tipologia di scelta selezionerà l’alleanza, “FIDO sta cercando di cancellare tutti i nomi utente, password e PIN dalla faccia del pianeta entro i prossimi anni – ha concluso Barrett -. Ecco perché già entro il prossimo anno arriveranno sul mercato i primi dispositivi FIDO-enabled”.
