Google e l'autenticazione conto terzi

Una nuova modalità di utilizzo delle credenziali di Google+. App e siti Web potranno usare i dati di accesso di BigG per identificare gli utenti. Con più attenzione alla privacy, dicono da Mountain View
Una nuova modalità di utilizzo delle credenziali di Google+. App e siti Web potranno usare i dati di accesso di BigG per identificare gli utenti. Con più attenzione alla privacy, dicono da Mountain View

Nella speranza di dare maggiore visibilità al suo sempre indefinito servizio “social-non-social” Google+, Mountain View è ora in procinto di implementare un nuovo servizio di autenticazione utilizzabile da app o anche su Web da soggetti di terze parti. Come Facebook ha insomma già fatto anni or sono con Facebook Connect , ora anche Google intende proporre agli utenti di autenticarsi su siti e servizi esterni usando le credenziali di accesso proprie di Google+. La regola vale naturalmente anche per le app scaricate dagli store eterodiretti di iOS e Android.

Di suo, il sistema di login di Google+ ci metterà un controllo più granulare : l’utente potrà decidere cosa condividere e con chi grazie alla funzionalità “circoli” integrata in Google+.

I primi partner che introdurranno l’autenticazione tramite Google+ includono The Fancy (a cui è arrivata una torta di felicitazioni dal Googleplex), USA Today , OpenTable e pochi altri. In più, il nuovo servizio permetterà finalmente di conoscere con maggior precisione quanti utenti – al di là dei roboanti numeri ufficiali forniti da Google – usano davvero il network social-non-social di Mountain View.

Una delle caratteristiche evidenziate da Google per il nuovo servizio di autenticazione “universale” è la sicurezza grazie all’uso di uno schema a doppio fattore, ma proprio l’autenticazione a doppio fattore adottata da Mountain View (non quella di Google+, quella fin qui in uso per accedere ad esempio su Gmail) è stata recentemente “bucata” da Duo Security. I ricercatori hanno infatti individuato un problema potenzialmente molto grave nella gestione delle password specifiche per singole app, una funzionalità pensata per fare il login su una app o un servizio senza servirsi della password principale.

Le password per app avrebbero dovuto funzionare solo in un caso e in quello soltanto, ma Duo Security ha scoperto che tali password possono essere riutilizzate per connettersi al profilo Google di un utente su smartphone o Chromebook. Ora il “baco” è stato risolto , e Google rassicura sulla sicurezza dei suoi servizi: pur ammettendone la riutilizzabilità, venire in possesso delle password specifiche per app non è mai stata davvero una possibilità alla portata di hacker e malintenzionati.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

27 02 2013
Link copiato negli appunti