La quotidiana guerra con le password (si tende a dimenticarle o a inventarne di troppo facili per essere veramente sicure) potrebbe essere presto destinata a finire. Due esperti della divisione sicurezza di Google stanno lavorando a un nuovo sistema di identificazione che passi attraverso un oggetto fisico, per esempio una chiavetta Usb “embedded” nello smartphone o addirittura all’interno di un gioiello.
“Come molti altri, noi pensiamo che le password non siano più sufficienti per garantire la sicurezza degli utenti” hanno scritto i due esperti, Eric Grosse e Mayank Upadhyay, in un articolo appena pubblicato su una rivista di ingegneria. “Ci piacerebbe che lo smartphone o l’anello con dentro una smart card possano autorizzare l’accesso a un nuovo computer, anche in situazioni in cui non ci sia connessione per il cellulare”.
Grosse e Upadhyay hanno spiegato che al momento stanno sperimentando YubiKey, un sottile stick Usb da usare al posto delle password per accedere ai servizi di Google. Nel futuro vogliono che questa tecnologia di autenticazione possa funzionare wireless e su tutti i diversi account di un unico utente.
“Dovremo lavorare su qualche forma di ‘unlock’ dello schermo: potrebbe essere attraverso una password ma anche attraverso qualcos’altro” hanno aggiunto i due ricercatori. “Ma l’iniziale ‘autenticatore’ sarà qualcosa di equivalente a un pezzo di hardware”.
Intanto, sempre a proposito delle password, un gruppo di ricerca del Carnegie Mellon University di Pittsburgh ha individuato un modo efficace per ingannare gli hacker: usare scorrettezze grammaticali piuttosto che frasi digitate correttamente.
Secondo il team di ricercatori coordinato da Ashwini Rao, una sequenza del tipo “IHateMyJob!” risulta essere più debole rispetto a “HateMyIJob!”, sebbene molti algoritmi riconoscano le due stringhe come identiche.
Secondo Rao, una password del secondo tipo si rivela più sicura semplicemente perché non segue il canone grammaticale tradizionale. Le chiavi di accesso che contengono regole grammaticali standard, infatti, sono state completamente decrittate dall’algoritmo messo a punto dai ricercatori.
La scoperta, se sarà confermata, mette in crisi l’abitudine crescente di creare password molto lunghe che, in diversi casi, sono vere e proprie frasi di senso compiuto. Sarà più sicuro, dunque, formulare una stringa più breve costituita, ad esempio, da un’alternanza di lettere maiuscole, minuscole e da numeri piuttosto che utilizzare sequenze da 20 caratteri.
