In pochi anni si è passati dall’accedere e gestire la propria identità online quasi esclusivamente attraverso computer, desktop o portatili, a una situazione che vede gli utenti costantemente connessi ai propri account, con smartphone, tablet e altre tipologie di dispositivi. Tutto questo ha spalancato le porte a all’innovazione, ma al tempo stesso ha fatto emergere tutti i limiti dei tradizionali sistemi impiegati per l’autenticazione online. Google ha già affrontato il problema in modo piuttosto efficace, introducendo tecnologie come la “Verifica in due passaggi” che aumentano il livello di sicurezza. In futuro potrebbe però non bastare e il gruppo di Mountain View ne è ben consapevole.
Per questo motivo il motore di ricerca è già al lavoro con l’obiettivo di mettere a punto nuove metodologie di login. Ne ha parlato ieri Eric Sachs (group product manager for identity di bigG), condividendo un documento in cui si focalizza l’attenzione su quelli che saranno i punti chiave di un nuovo percorso di ricerca e sviluppo, destinato a concludersi all’incirca tra un lustro.
Il team di Google al lavoro sul login ha iniziato il suo impegno per trovare metodi solidi di autenticazione nella primavera del 2008. Abbiamo pubblicato una roadmap cinque anni fa, con i risultati da raggiungere. Oggi lo facciamo di nuovo, aggiornandola.
Sachs identifica quelli che saranno gli ambiti chiave su cui concentrarsi: analisi del comportamento degli utenti in fase di login per riconoscere eventuali interazioni anomale o rischiose, obbligo di utilizzo del sistema di autenticazione a due fattori (già attivo per i servizi Google ma al momento opzionale), implementazione di tecniche relative al login in stile OpenID, utilizzo del protocollo
- OAuth, in modo da non obbligare l’utente a digitare la propria password ogni volta che un’app cerca di effettuare l’accesso all’account. Tutto questo è reso necessario dalle tecniche sempre più complesse messe in campo dai malintenzionati.
Il problema più grande è rappresentato dal fatto che anche i “cattivi” si sono evoluti, trovando nuove vie per generare profitti dagli account violati, utilizzando metodi sempre più complicati per mettere le mani sui dati personali degli utenti.
A giocare un ruolo chiave nel futuro dell’autenticazione online saranno i dispositivi mobile, in particolar modo gli smartphone, oggi nelle mani di quasi tutti gli utenti. Questo permetterà di trasformare il device stesso in una chiave per aprire ogni porta del proprio account, anziché sfruttarlo esclusivamente come interfaccia per l’immissione di nome utente e password. Ecco un estratto del documento tradotto, che aiuta a capire meglio le intenzioni di Google a questo proposito.
La roadmap pubblicata cinque anni fa parlava dell’invio di messaggi SMS a un telefono come fattore aggiuntivo per l’autenticazione. Oggi abbiamo applicazioni Android e iOS che generano questi codici anche se l’utente non ha modo di connettersi alla Rete in mobilità. Si tratta di un significativo passo in avanti e stiamo iniziando ad adottare questo approccio anche per i “risk based login”.
In altre parole: gli smartphone forniranno i codici di accesso a piattaforme e servizi anziché limitarsi a chiedere di digitarli. Se questi non saranno a disposizione gli utenti dovranno ricorrere alla procedura di ripristino del proprio account. Una scelta “dolorosa” o comunque certamente impopolare, ma necessaria per garantire il più alto livello di sicurezza possibile e su cui Google non ha intenzione di scendere a compromessi.
Stiamo per introdurre un cambiamento al nostro sistema di login che lo renderà molto più “aggressivo”. A tutti coloro che non hanno abilitato la verifica in due passaggi verrà chiesto di farlo per ogni accesso ai servizi. Se non si avrà con sé il proprio telefono sarà necessario ricorrere al ripristino dell’account, che richiede obbligatoriamente il cambio della password.