Somini Sengupta, la Repubblica 27/12/2011, 27 dicembre 2011
ADDIO PASSWORD DA IMPARARE A MEMORIA ORA LA SICUREZZA PASSA DA VOCE E "TOUCH"
Ricordarsi le password è uno strazio. Non sarebbe meglio poter accedere applicando le cinque dita? Oppure pronunciando una semplice frase? Nessuna delle due idee è fantascienza. Gli informatici di Brooklyn stanno addestrando i loro iPad a riconoscere il proprietario dal tocco. Le banche già ora usano programmi di riconoscimento vocale in aggiunta al tradizionale "Pin".
Gli esperti di sistemi di sicurezza stanno rinnovando i loro sforzi per integrare e, in prospettiva, eliminare la buona vecchia password. «Se qualcuno mi chiede qual è il più grosso fastidio della vita contemporanea, rispondo che sono le quaranta password diverse che mi tocca creare e cambiare», dice Nasir Memon, professore di Scienza informatica all’Università di New York, a capo del progetto iPad. Molte persone sarebbero d’accordo. Le password sono diventate una droga: indispensabili per gestire i nostri dispositivi e account, ma fonte crescente di esasperazione e insicurezza.
Temendo che il portatile di un soldato possa finire in mani nemiche, l’agenzia per la ricerca del dipartimento della Difesa è a caccia di metodi per verificare «in continuo» l’identità di chi lo utilizza attraverso indizi come gli errori di battitura ricorrenti o il modo di usare il mouse. Per fare un esempio più banale, Google recentemente ha cominciato a invitare i suoi utenti a prendere in considerazione un sistema di login in due passaggi, abbinando una password e un codice inviato ai loro telefoni. Il recente sistema operativo Android è in grado di sbloccare un telefono riconoscendo il volto del proprietario, ma può essere ingannato tenendo davanti al telefono una foto con la sua faccia.
Bill Gates nel 2004 dichiarò: «La password è morta». Nonostante i progressi, è ancora presto. «Quella frase, clamorosamente sbagliata, ha scoraggiato la ricerca. Le password - ha scritto Cormac Herley, ricercatore proprio alla Microsoft - si sono dimostrate un avversario coriaceo: tutti quelli che hanno cercato di sostituirle hanno fallito». Sono dure a morire, ma non sono eccessivamente sicure: ognuno di noi generalmente ha bisogno di una dozzina di password e tendiamo a sceglierle talmente complesse da doverle scrivere da qualche parte o talmente semplici da poter essere indovinate facilmente.
Società come Facebook e Twitter hanno cercato di risolvere la frustrazione da password degli utenti consentendo di usare il nome utente e la password registrati sui loro server per aprire l’accesso a milioni di siti: è comodo, ma comporta rischi evidenti. Un ladro che riesca ad accedere al nome utente e alla password "madre" può accedere a una gran quantità di account.
Rachna Dhamija, una scienziata informatica trasformata in imprenditrice, cerca di risolvere questi punti deboli scomponendo le password. Un pezzo resta nelle mani dell’utente, un altro è archiviato nel suo dispositivo e il terzo è registrato online sul servizio da lei creato, UsableLogin. Molte società usano una smart card o una chiave hardware di sicurezza come secondo passaggio di verifica. E la biometrica - i tratti fisici esclusivi di un individuo - sta emergendo come un’alternativa. Negli Stati Uniti ci sono almeno una mezza dozzina di banche che chiedono ai loro clienti di verificare la propria identità recitando una frase di due secondi a un computer via telefono, oltre a inserire il loro "Pin". «La password non sarà più l’arbitro ultimo della tua identità», avverte Brendon Wilson, ricercatore alla Symantec. (© 2011 The New York Times/ la Repubblica traduzione di Fabio Galimberti)