23 Ottobre 2018 / 19:12
Password addio. Ora il telefono si fida di te

 
Sicurezza

Password addio. Ora il telefono si fida di te

di Mattia Schieppati - 9 Giugno 2016
Google ha annunciato che entro fine anno sarà disponibile il Project Abacus: incrociando biometria e big data sarà lo smartphone stesso a stabilire l'identità dell'utente attraverso una batteria di indicatori e di sensori molto articolata. Ma saranno sicuri? Assicureranno la privacy? E quali sono? Si scopre che …
In media, ogni cittadino europeo ne deve ricordare a memoria (o segnarsi da qualche parte, il che non è il massimo nell'era dell'hacking dilagante) circa 100. Sono le password, quelle stringhe alfanumeriche sempre più complesse ed elaborate che ci permettono di accedere a qualsiasi servizio "sicuro" attraverso web o app. Strumenti ormai obsoleti, in un'epoca in cui un solo strumento - lo smartphone - sta ormai cannibalizzando tutta l'attività che si svolge online, e con lo sviluppo di servizi "one-click-only" che rappresentano una comodità estrema per l'utente e un vantaggio per gli operatori di servizi ed e-commerce, i quali più riescono ad annullare i tempi morti di autenticazione più possono sperare nella crescita degli acquisti fatti spesso d'impulso (circa 1/4 degli utenti, infatti, abbandona una transazione quando si presenta lo scoglio del login tramite password, spesso perché in quel momento non se la ricorda ...). Per non parlare del tema sicurezza e del rischio che si corre quando si scelgono come password parole o combinazioni deboli (fa già scuola il caso Zuckerberg, che con il suo “dadada” ha permesso agli hacker di violare i suoi profili social).

Il nostro comportamento come password

Password addio, dunque? Se ne parla da parecchio tempo, ma ora il momento pare davvero essere giunto. A dare il colpo di grazia a questo vecchio modo di tutelare la sicurezza delle transazioni online sarà infatti - a breve - Google, che dopo tre anni di studi e di sperimentazioni riservate ha annunciato che entro fine anno rilascerà un nuovo sistema di autenticazione che manderà in pensione la password e si baserà completamente su un mix tra biometria e utilizzo dei big data. Questo meccanismo rivoluzionario alla base del Project Abacus (così è stato battezzato il sistema a Mountain View, sede di Google) è tanto affascinante quanto inquietante: in pratica, sarà lo stesso smartphone in base ad alcuni parametri di comportamento dell'utente, a stabilire se quella persona è il reale proprietario del telefono oppure un impostore. Come? Incrociando tutti i behaviour data, i dati di comportamento dell'utente, che già oggi i dispositivi mobili sono in grado di registrare:
• geolocalizzazione,
• velocità di digitazione,
• parametri corporei (pressione, battito...),
• riconoscimento vocale,
• vicinanza o meno a hotspot wi-fi,
• bluetooth riconosciuti.

Il cellulare si sblocca con un punteggio

Ciascuno di questi indicatori sarà valutato con un punteggio (Trust API - Application Programming Interface) che dipende da diversi fattori: dove ci troviamo, cosa stiamo facendo o cosa abbiamo fatto, come scriviamo; le diverse app del nostro telefono si "sbloccheranno" al raggiungimento di un punteggio minimo pre-impostato di riconoscimento, punteggio che rappresenta il grado di sicurezza e quindi di accesso. Come ovvio, per accedere all'app di un videogame basterà un livello minimo, mentre per accedere alla app della propria banca - che contiene dati molto più sensibili - i big data incrociati dovranno essere maggiori e più raffinati. Saranno gli sviluppatori delle singole app a dover includere nel software i livelli di Trust API, e non sarà il sistema operativo a dover gestire questo aspetto (l'hardware del telefono in sé, è infatti "estraneo" a questo sistema; lo smartphone, di suo, ci mette il livello di sicurezza già esistente garantito dalla necessità di inserire il Pin personale, o il riconoscimento delle impronte digitali, per attivare l'apparecchio). Demandando il livello di autenticazione al software delle singole app, si risponde in qualche modo alle obiezioni relative alla tutela della privacy, ma questo è un altro grande capitolo che dovrà essere analizzato con cura dalle regole nazionali ed europee.
Un primo passo in questa direzione è già oggi rappresentato dalla tecnologia SmartLock, già presente sul sistema operativo mobile Android nella versione 5.0 Lollipop: con SmartLock, infatti, quando l'utente si trova in un luogo conosciuto oppure il dispositivo riconosce che nelle vicinanze c’è un altro tuo dispositivo Bluetooth collegato, magari il tuo smartwatch Android Wear, procede automaticamente all'identificazione e non chiede il Pin di sblocco.

Abacus pronto per fine anno

Spiega Daniel Kaufman, capo ricerca presso la divisione Advanced Technology and Projects di Google: «Abbiamo tutti un telefono e ciascun telefono include diversi sensori. Perché, mettendo a sistema questi sensori e incrociando i dati, non potrebbe semplicemente sapere chi sono, così da non chiedere la password? Il passaggio in più da fare è quindi solo la possibilità di mettere a sistema e usare tutta questa massa di dati che il telefono già di suo raccoglie...». Kaufman ha spiegato che «alcuni enti finanziari (senza specificare chi, ndr) stanno già testando le Trust API; se questa fase di test sarà positiva, le API verranno pubblicate entro la fine dell’anno». Semplice e immediato, certo, ma se su un piatto della bilancia mettiamo la praticità, sull'altro grava la quasi certezza che quel che abbiamo in tasca per la maggior parte del nostro tempo è si un caro amico, ma anche una "spia" che ormai è in grado di sapere tutto di noi, addirittura di riconoscerci dalla velocità con cui digitiamo un sms ...
Questo annuncio, e questo balzo in avanti, assicurerebbe a Google un enorme vantaggio competitivo in uno dei settori - quello delle password, della biometria e in generale dei sistemi di autenticazione - che rappresenta uno dei grandi business del prossimo futuro (si calcola che riguardi un giro d'affari di oltre 30 miliardi da qui al 2021). E non per caso Google ha avviato la sperimentazione proprio attraverso la collaborazione con alcuni istituti bancari, realtà che rappresentano un simbolo dal punto di vista della garanzia di sicurezza e nella "gestione della fiducia" dell'utente.
CONTENUTI CORRELATI

Il lato oscuro delle intelligenze artificiali

Gli algoritmi ci stanno regalando conquiste positive in tanti campi, compreso quello della finanza e dei pagamenti. Ma bisogna stare attenti ai...

Lo zen e l’arte della sicurezza

Nell’ambito del progetto Events in Art di ABIServizi, finalizzato a unire il mondo finanziario con quello artistico, i temi di Banche e Sicurezza...

La sicurezza in 7 passi

Gli account privilegiati sono un obiettivo prioritario della criminalità cyber. Andrea Argentin di CyberArk spiega cosa devono fare le banche per...

Violazione dati in calo

Secondo il report di Ibm X-Force, nel 2017 si riducono le violazioni di dati ma il fenomeno rimane importante, soprattutto nel settore dei servizi...
ALTRI ARTICOLI

 
Pagamenti

Senza il contante, il retail cambia pelle

Al Salone, il punto di vista di grande e piccola distribuzione sugli orizzonti che i digital payment possono aprire: nuova esperienza di acquisto e il...

 
Fintech

Così portiamo il territorio nel digitale

Ventis, il marketplace di Iccrea, è uno strumento di relazione e un modello evoluto di fare banca. Mettendo a disposizione delle imprese clienti...

 
Pagamenti

PA e fintech driver dei pagamenti digitali

Il rapporto del Comitato Pagamenti della Banca d'Italia fotografa per il 2017 una crescita del 6% dei pagamenti alternativi al contante, soprattutto...
Melissa Peretti di Amex spiega le strategie di sviluppo della società: servizi d'eccellenza in ogni fase del...
Maggiore protezione dei clienti e un miglioramento della relazione con banche e assicurazioni. Sono questi,...