Google Propone di Usare una Chiavetta invece della Password


chiavetta fido u2f

La sicurezza per molti è una scocciatura, ricordarsi una marea di password differenti per decine di siti è una sfida da far venire un mal di testa e spinge molti utenti ad utilizzare dei gestori delle password che potrebbero facilmente essere bucati oppure semplificare al massimo e utilizzare delle password insicure (mi è anche capitato di vedere qualcuno attaccare post-it con password sullo schermo del PC) che poi rendono facile il furto d’identità tramite phishing e l’accesso ai dati privati.

Per cercare di ovviare al problema del furto di password c’è già l’autenticazione a due fattori che però comporta comunque una complicazione supplementare: è difficile da impostare e da gestire.
Ora Google sta proponendo una soluzione alternativa: una chiavetta fisica.

Si tratta di una speciale chiavetta USBche rispetta lo standard FIDO U2F, sottoscritto da Google e Microsoft e da circa 120 aziende (ma non Apple), e si attiva soltanto dopo aver verificato che il sito sia autentico.

fido u2f

L’utente, invece di dover digitare un codice deve solo premere un tasto sulla chiavetta inserita in una porta USB del computer.
Per ora la chiavetta, disponibile in vari paesi a un prezzo molto abbordabile, è concepita per funzionare con i servizi di Google e soltanto se utilizza una versione di Google Chrome (dalla versione 38 in poi in ambiente ChromeOS, Windows, Mac OS o Linux), ma nulla vieta che altri fornitori di servizi adottino la stessa soluzione.

La chiavetta contiene un chip, il Secure Element, basato sulla stessa tecnologia delle smart card, che custodisce in modo sicuro le chiavi crittografiche.
Quando si attiva la chiavetta per la prima volta vengono generate due chiavi: una pubblica, inviata al fornitore di servizio, e una privata, che resta sulla chiavetta, come in uno schema crittografico asimmetrico.
Il sito visitato manda alla chiavetta un challenge cifrato: la chiavetta lo decifra e poi risponde con un token di autenticazione firmato.

L’idea di sostituire le password con una chiave fisica taglia le gambe alla maggior parte degli attacchi da remoto ma ha comunque delle limitazioni: bisogna avere sempre con sé la chiave e smarrirla (o farsela rubare) potrebbe diventare un problema.

Bisogna anche dire che non tutti i dispositivi hanno una porta USB oppure ci sono ma sono disabilitate o ne è vietato l’uso appunto per ragioni di sicurezza e per evitare che ci siano sottrazione di dati sensibili.
Ma per molti utenti una chiave fisica FIDO U2F Security Key potrebbe essere una semplificazione salvavita.


Lascia un Commento!