Può forse sembrare strano a dirsi, ma uno dei punti deboli che maggiormente necessitano di attenzione, quando si tratta di sicurezza, è rappresentato dalle password.

Scegliere password banali, o riutilizzare più volte la stessa password sono due delle pratiche più pericolose e allo stesso tempo diffuse che si possano riscontrare tra i frequentatori della Rete e a cui bisogna aggiungere i sempre frequenti tentativi di phishing.

Anche Google è sempre più consapevole del fatto che lo strumento cui è affidata la sicurezza degli account è anche una debolezza e, per questo motivo, ha deciso di iniziare a muovere i primi passi verso sistemi alternativi.

Articoli raccomandati:

Apple, Google e Microsoft svelano il sistema che eliminerà le password

Google, lenti a contatto al posto delle password

Google identifica l'utente con una chiavetta USB

Password facili da ricordare ma sicure

Non che non ci abbia già provato in passato: un paio d'anni fa introdusse il login in due passaggi, che prevede l'invio di un codice segreto, via SMS, all'utente che effettua il login e che deve inserire tale codice insieme alla password.

Anche questo escamotage, però, si è rivelato vulnerabile agli attacchi di phishing, perché in questi casi è l'utente che deve fare attenzione e un sistema basato sull'inserimento di codici e password non può fare niente per proteggerlo, se decide di inserire tali codici e tali password dove non deve.

Con uno studio che verrà pubblicato nel corso di questo mese sullo IEEE Security & Privacy Magazine, Google propone una soluzione alternativa al tempo stesso nuova e vecchia.

Non perderti anche:

Da Mastercard la carta di credito con display e tastiera

Internet, sempre più teenager tengono i genitori all'oscuro

Violano i computer della scuola per alzarsi i voti

Quanto è difficile scegliere una password complessa

L'azienda di Mountain View propone infatti - e in realtà sta già sperimentando - di sostituire l'accoppiata username/password con dei dispositivi fisici per l'identificazione, in pratica dando nuova vita all'idea - non esattamente nuova - dei token hardware.

Nell'edizione 2013 e marchiata Google, i token per l'identificazione possono assumere varie forme. Una è quella di chiavetta USB come quelle prodotte dalla Yubico e contenenti i dati necessari: per identificarsi presso i servizi web (come Gmail, Google+, Google Drive e via di seguito), l'utente non dovrebbe fare altro che inserire la chiave in una porta USB.

Consigliamo la lettura di:

Coltellino svizzero USB, dati inaccessibili dal 15 settembre

Dropbox, confermate le violazioni degli account

Mamma diventa hacker per salvare la figlia dalla bocciatura

Sette suggerimenti per il tuo smartphone

Questo sistema è già stato provato da Google adoperando una versione di Chrome modificata per poter funzionare con le chiavi di Youbico. Il vantaggio sta nel fatto che la soluzione è multipiattaforma perché non occorre scaricare software aggiuntivo ma è sufficiente il supporto da parte del browser: potenzialmente, dunque, ogni browser potrebbe adottarla.

L'evoluzione poi può portare il token ad assumere altre forme e altre modalità dei trasmissione dei dati: non è obbligatorio avere una chiavetta da inserire nella porta USB, si può avere un oggetto di qualsiasi forma (Google ipotizza un anello contente il chip di memoria coi dati, così da avere il token sempre con sé) che comunica senza fili, per esempio tramite Bluetooth.

In questo modo si elimina alla radice il rischio del phishing, dato che non c'è nulla da inserire via tastiera, ma ovviamente il rovescio della medaglia sta ancora una volta nella sbadataggine dell'utente, che dovrà fare attenzione a non perdere la preziosa chiavetta, il prezioso anello (al netto di reminiscenze di letteratura fantasy) o che altro.

Leggi anche:

Quindici consigli per rendere le proprie password sicure

Furto di password da Yahoo! ma non solo

Vacanze hi-tech, come sopravvivere all'estate

MySQL, accesso root in pochi secondi

«Ci piacerebbe» - scrivono gli autori della ricerca - «che lo smartphone o l'anello con smartcard integrata possano autorizzare l'accesso da un nuovo computer con un semplice tocco al computer stesso, anche in situazioni in cui il telefono può non avere una connessione cellulare disponibile».

Uno scenario di questo tipo può diventare realtà solo se viene adottato su larga scala: ecco perché Google sta cercando altri siti che vogliano unirsi alla sperimentazione e perché ha sviluppato un protocollo (di cui ancora non conosce il nome) per gestire l'autenticazione basata su token che non solo, come detto già per le chiavette di cui abbiamo parlato, non richiede software aggiuntivo ma solo il supporto da parte del browser ma impedisce anche ai siti di adoperare questa tecnologia per tracciare gli utenti.

Per approfondire:

LinkedIn, compromessi 5 account su 100

Protezione biometrica a telefonino, tablet, Pc

WiFi Pineapple sniffa le password e molto altro

Le password al sicuro nel cloud