Password addio. Ora il telefono si fida di te

In media, ogni cittadino europeo ne deve ricordare a memoria (o segnarsi da qualche parte, il che non è il massimo nell'era dell'hacking dilagante) circa 100. Sono le password, quelle stringhe alfanumeriche sempre più complesse ed elaborate che ci permettono di accedere a qualsiasi servizio "sicuro" attraverso web o app. Strumenti ormai obsoleti, in un'epoca in cui un solo strumento - lo smartphone - sta ormai cannibalizzando tutta l'attività che si svolge online, e con lo sviluppo di servizi "one-click-only" che rappresentano una comodità estrema per l'utente e un vantaggio per gli operatori di servizi ed e-commerce, i quali più riescono ad annullare i tempi morti di autenticazione più possono sperare nella crescita degli acquisti fatti spesso d'impulso (circa 1/4 degli utenti, infatti, abbandona una transazione quando si presenta lo scoglio del login tramite password, spesso perché in quel momento non se la ricorda ...). Per non parlare del tema sicurezza e del rischio che si corre quando si scelgono come password parole o combinazioni deboli (fa già scuola il caso Zuckerberg, che con il suo “dadada” ha permesso agli hacker di violare i suoi profili social).

Password addio, dunque? Se ne parla da parecchio tempo, ma ora il momento pare davvero essere giunto. A dare il colpo di grazia a questo vecchio modo di tutelare la sicurezza delle transazioni online sarà infatti - a breve - Google, che dopo tre anni di studi e di sperimentazioni riservate ha annunciato che entro fine anno rilascerà un nuovo sistema di autenticazione che manderà in pensione la password e si baserà completamente su un mix tra biometria e utilizzo dei big data. Questo meccanismo rivoluzionario alla base del Project Abacus (così è stato battezzato il sistema a Mountain View, sede di Google) è tanto affascinante quanto inquietante: in pratica, sarà lo stesso smartphone in base ad alcuni parametri di comportamento dell'utente, a stabilire se quella persona è il reale proprietario del telefono oppure un impostore. Come? Incrociando tutti i behaviour data, i dati di comportamento dell'utente, che già oggi i dispositivi mobili sono in grado di registrare:

• geolocalizzazione,

• velocità di digitazione,

• parametri corporei (pressione, battito...),

• riconoscimento vocale,

• vicinanza o meno a hotspot wi-fi,

• bluetooth riconosciuti.

Ciascuno di questi indicatori sarà valutato con un punteggio (Trust API - Application Programming Interface) che dipende da diversi fattori: dove ci troviamo, cosa stiamo facendo o cosa abbiamo fatto, come scriviamo; le diverse app del nostro telefono si "sbloccheranno" al raggiungimento di un punteggio minimo pre-impostato di riconoscimento, punteggio che rappresenta il grado di sicurezza e quindi di accesso. Come ovvio, per accedere all'app di un videogame basterà un livello minimo, mentre per accedere alla app della propria banca - che contiene dati molto più sensibili - i big data incrociati dovranno essere maggiori e più raffinati. Saranno gli sviluppatori delle singole app a dover includere nel software i livelli di Trust API, e non sarà il sistema operativo a dover gestire questo aspetto (l'hardware del telefono in sé, è infatti "estraneo" a questo sistema; lo smartphone, di suo, ci mette il livello di sicurezza già esistente garantito dalla necessità di inserire il Pin personale, o il riconoscimento delle impronte digitali, per attivare l'apparecchio). Demandando il livello di autenticazione al software delle singole app, si risponde in qualche modo alle obiezioni relative alla tutela della privacy, ma questo è un altro grande capitolo che dovrà essere analizzato con cura dalle regole nazionali ed europee.

Un primo passo in questa direzione è già oggi rappresentato dalla tecnologia SmartLock, già presente sul sistema operativo mobile Android nella versione 5.0 Lollipop: con SmartLock, infatti, quando l'utente si trova in un luogo conosciuto oppure il dispositivo riconosce che nelle vicinanze c’è un altro tuo dispositivo Bluetooth collegato, magari il tuo smartwatch Android Wear, procede automaticamente all'identificazione e non chiede il Pin di sblocco.

Spiega Daniel Kaufman, capo ricerca presso la divisione Advanced Technology and Projects di Google: «Abbiamo tutti un telefono e ciascun telefono include diversi sensori. Perché, mettendo a sistema questi sensori e incrociando i dati, non potrebbe semplicemente sapere chi sono, così da non chiedere la password? Il passaggio in più da fare è quindi solo la possibilità di mettere a sistema e usare tutta questa massa di dati che il telefono già di suo raccoglie...». Kaufman ha spiegato che «alcuni enti finanziari (senza specificare chi, ndr) stanno già testando le Trust API; se questa fase di test sarà positiva, le API verranno pubblicate entro la fine dell’anno». Semplice e immediato, certo, ma se su un piatto della bilancia mettiamo la praticità, sull'altro grava la quasi certezza che quel che abbiamo in tasca per la maggior parte del nostro tempo è si un caro amico, ma anche una "spia" che ormai è in grado di sapere tutto di noi, addirittura di riconoscerci dalla velocità con cui digitiamo un sms ...

Questo annuncio, e questo balzo in avanti, assicurerebbe a Google un enorme vantaggio competitivo in uno dei settori - quello delle password, della biometria e in generale dei sistemi di autenticazione - che rappresenta uno dei grandi business del prossimo futuro (si calcola che riguardi un giro d'affari di oltre 30 miliardi da qui al 2021). E non per caso Google ha avviato la sperimentazione proprio attraverso la collaborazione con alcuni istituti bancari, realtà che rappresentano un simbolo dal punto di vista della garanzia di sicurezza e nella "gestione della fiducia" dell'utente.