di Pierluigi Paganini*
È ufficiale, Google intende sostituire i meccanismi di autenticazione basati su password con nuove tecnologie come i trust scores. Parliamo di tecnologie in grado di raggiungere un ottimo compromesso tra il livello di sicurezza implementato e l’usabilità da parte dell’utenza.
Google ha annunciato nel corso della recente conferenza Google I/O che manderà in pensione le password per i propri dispositivi mobili basati su sistema operativo Android. Gli esperti del colosso statunitense hanno sviluppato la tecnologia Trust API technology, che consente l’autenticazione con metriche ben definite, chiamate appunto ‘trust scores’.
Cosa sono i trust scores
Google userà parametri tipici dell’uso di un dispositivo mobile da parte di un utente per determinare un punteggio, lo “score” cui riferiscono i trust scores. Tali parametri sono velocità di battitura, riconoscimento facciale, inflessioni vocali e la vicinanza ai dispositivi ritenuti affidabili, come Bluetooth e hotspot Wi-Fi.
Google intende associare ai vari trust scores una gamma di operazioni per cui l’utente è autorizzato. Ad esempio, l’accesso a un’applicazione bancaria potrebbe richiedere uno score elevato calcolato sulla base di un rilevamento biometrico, come l’analisi dell’impronta o il riconoscimento facciale. Diversamente, per altre applicazioni sarà possibile usare un’applicazione ludica con uno score relativamente basso (uso del mobile in presenza di un particolare hot spot wi-fi).
Il nuovo processo di autenticazione, quindi, implementa un meccanismo basato sui livelli di fiducia (trust scores). Un punteggio basso di fiducia consentirà l’esecuzione di operazioni con privilegi bassi, mentre un punteggio più alto consentirà di eseguire applicazioni sensibili, come l’accesso alla webmail oppure all’home banking.
Quando sarà operativa la nuova tecnologia
“Abbiamo un telefono e questi smartphone hanno un’ampia gamma di sensori a bordo – ha spiegato Daniel Kaufman di Google – perché non usarli per identificarci? Non avrei più bisogno di una password. La tecnologia Trust API technology usa una varietà di metriche per calcolare un “trust score”, che è essenzialmente il livello di convinzione con cui l’utente mi dice è chi suppone di essere.”
Kaufman ritiene che la tecnologia possa essere operativa entro la fine del 2016, consentendo a Google di raggiungere il suo ambizioso obiettivo.
Gli esperti di sicurezza stanno lavorando per migliorare l’esperienza degli utenti cercando di incrementare al contempo il livello di sicurezza. Sicuramente immaginano un futuro in cui i processi di autenticazione non utilizzeranno le password e l’autenticazione biometrica rappresenterà una naturale evoluzione.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef