Facebook ha deciso di fare un balzo in avanti sul tema della protezione dei dati degli utenti . E lo fa su due versanti: da un lato ridisegnando la pagina delle impostazioni sulla privacy rendendola più facile da leggere (e prevedendo una sistema di consigli volti ad agevolare l’utente in fase di pubblicazione dei contenuti) e dall’altro offrendo una nuova opportunità di accesso all’account .
Come si legge nella nota dell’azienda , è ora possibile registrare una chiave di sicurezza fisica da utilizzare per l’autorizzazione d’accesso all’account. Si tratta di un piccolo dispositivo hardware da inserire nella porta USB del computer per certificare la propria identità.
Si tratta di un sistema più sicuro rispetto all’utilizzo di chiavi gestite mediante invio di SMS o generazione di codici volatili tramite app mobile. Ma oltre al fattore sicurezza vi è anche il fattore “alternativa”. I metodi che prevedono l’uso di un cellulare non sono infatti sempre affidabili e la disponibilità di un apparecchio mobile non è così scontata come sembri (o quanto meno l’effettivo collegamento alla rete, necessario per far funzionare l’app o ricevere l’SMS).
Le nuove security key supportano lo standard Universal 2nd Factor (U2F) creato da FIDO Alliance e possono essere acquistate ad un costo di poco meno di 20 dollari (a salire per usufruire della tecnologia NFC) da aziende come Yubico . Nello specifico, la YubiKey è un dispositivo di autenticazione hardware che permette l’uso di una password che varia ad ogni utilizzo (OTP) , alla stregua di come ci hanno abituato alcune banche per operare con l’home banking, ma con un passaggio ulteriore: la chiave generata viene “scritta” automaticamente senza dover digitare sulla tastiera.
I principali vantaggi nell’utilizzo della chiave fisica, come specifica Facebook, sono rappresentati dalla protezione contro il Phishing (la crittografia passa attraverso un dispositivo hardware senza necessità di inserire manualmente alcun codice), dall’ interoperabilità (la chiave può essere usata, come visto, per accedere a più servizi) fino alla velocità di login (la comunicazione tra dispositivo e servizio è automatica, il tutto si riduce alla pressione di un pulsante).
Qualche limitazione per la verità c’è. Si tratta della compatibilità con i browser. Al momento il sistema è compatibile con l’ultima versione di Chrome e Opera . Nessun problema nell’aggiornare la propria configurazione, certo. Ma se l’autenticazione dovesse avvenire da altri computer?
Anche Google crede fortemente in questa tecnologia su cui sta investendo dal 2014 (e la lista di chi l’ha già implementata comprende Dropbox, GitHub e Salesforce). La testimonianza di Big G circa la bontà della tecnologia è giunta dopo un biennio di test in cui sono stati coinvolti 50.000 impiegati dell’azienda. I risultati non lasciano dubbi: si tratta di una soluzione sicura, comoda, efficiente ed economica. “Abbiamo dimostrato che le chiavi di sicurezza conducono sia ad un maggiore livello di sicurezza e soddisfazione degli utenti, nonché costi del supporto più economici” – si legge.
Tecnologie simili, come le smartcard, sembrano destinate ad andare in pensione. Le nuove security key hanno dalla loro parte la compatibilità con l’onnipresente USB . Le “sorelle” hanno bisogno invece di hardware specifico per essere lette e poter interagire con il computer. La vittoria a tavolino sembra essere già stata decretata.
Mirko Zago
Ti potrebbe interessare
30 gen 2017