Tanti siti e troppe log-in da memorizzare, l’espansione di portali web, più l’utilizzo assiduo di nuove app, hanno portato gli utenti a dover ricordare un’infinita di password e di user name. Tutto ciò espone l’utente, sempre di più, al rischio di condividere informazioni e dati su siti che non sono sempre attendibili. L’83% degli utenti che utilizzano l’internet mobile (Fonte: GSMA Intelligence), sono preoccupati di condividere i propri dati personali e sono stanchi di mettere la password sul web e in applicazioni che usano regolarmente.
Tutti i big player, come: Facebook. Google, Linkedin o Twitter, intuendo questa esigenza e vedendone un’occasione, hanno creato i loro metodi per permettere agli utenti di registrarsi in siti di terze parti, utilizzando il loro account del proprio social network.
Oltre a queste opzioni, quest’anno arriverà anche il Mobile Connect, sistema sviluppato in GSMA da diversi MNO, presentato al MWC 2015 di Barcellona e che si prefigge un ulteriore livello di sicurezza. Allo stato attuale, infatti, esistono differenti tipi di autenticazione, a seconda del grado di sicurezza che gli utenti vogliano applicare e che fondamentalmente si potrebbero dividere in tre categorie: Light, Medium e Strong.
I tre livelli possono essere utilizzati per soddisfare diverse esigenze della customer base, per esempio l’autenticazione light, con basso di livello di sicurezza, può essere impiegata per mail, community o forum, mentre la medium per e-commerce ed accesso a siti a pagamento, infine la strong per banche o servizi finanziari, in quanto funziona con l’aggiunta di hardware e certificati, che però la rende poco user friendly.
L’autenticazione light è applicata con l’account dei vari social network e come dicevamo è un primo livello di sicurezza, in cui un Identity Provider (in questo caso il social network) delega la gestione dell’identità dell’utente, usando le singole credenziali per l’accesso a più siti web, grazie all’utilizzo di vari standard per la gestione dell’identità (AOuth, Open ID, Open ID Connect).
La medium, ovvero quella del Mobile Connect della GSMA, è un secondo livello ottimo per la sicurezza. Nella sua formula più semplice, un dispositivo mobile, è già autenticato dall’operatore attraverso la SIM, in questo modo l’operatore, in qualità di Identity Provider, non necessita di fornire all’utente una user id e l’utente non ha bisogno di inserire alcuna credenziale e potrebbe essere automaticamente autenticato ed accedere al servizio. Per una sicurezza aggiuntiva (accesso a siti a pagamento ecc.) è prevista anche la possibilità di richiedere un PIN di autenticazione.
Dovendo analizzare i pro e i contro di questi sistemi, salta subito all’occhio che lato utente non vi è più la necessità di scegliere e ricordare nuove credenziali, ma è pur vero nel caso delle connessioni attraverso i social networks, il web site può accedere ad alcune informazioni del profilo, aggredendone la privacy.
E’ ovvio poi lo svantaggio per i siti internet, in quanto tutto ciò consente ad una terza parte di gestire i servizi delle identità dei clienti per loro conto. Infine, almeno per la light, il livello di sicurezza fornito è bassa e si basa solo su user name e password.
Lo scenario futuro è molto diverso e ci propone sviluppi basati sui dati biometrici, che in realtà, già in parte utilizziamo, come le impronte digitali per effettuare pagamenti con Applepay, ma è anche quello, ancora in studio, del DeepFace di Facebook, che permette di riconoscere un volto da un database preesistente e che è già in grado, almeno secondo Scienze Mag, di analizzare miliardi di foto e capire chi è rappresentato, con una precisione intorno al 98%.
I dati biometrici non si fermano certo al solo volto e andando a vedere le specifiche FIDO (Fast Identification Online), che piacciono tanto a Microsoft, si evince la possibilità di accedere a dispositivi e applicazioni anche attraverso la voce, l’iride o altri parametri biometrici.
Per ora, l’uso di password univoche utilizzate su più siti, supportate o no dall’aiuto della SIM, resterà lo standard, ma è pur vero che il prossimo futuro tenderà sicuramente all’autenticazione attraverso i dati biometrici. Anche perché, questa, sarà l’unica via percorribile, in un mondo dove l’autenticazione online diventerà la vera chiave dell’identità personale e non solo elettronica.
