Ci eravamo occupati, un paio di giorni fa, del progetto presentato da Intelligent Environments, software house britannica, che prevedeva di sostituire, nel corso dei prossimi mesi, le tradizionali cifre dei codici pin bancari con una sequenza di simboli emoji, che grazie al grandissimo numero di permutazioni rispetto alla procedura attuale, garantirebbe un notevole incremento della sicurezza.

intelligent environments avrmagazine

La proposta, che ci era parsa interessante, non ha riscosso favori unanimi e un reportage di Wired ne illustra alcuni limiti e difetti.

Per prima cosa non tutti i siti internet riconoscerebbero le emoji e i computer tradizionali non avrebbero, come i dispostivi mobili di ultima generazione, un apposito sistema di input per le icone.

Un giorno forse potrebbero esistere tastiere intelligenti, ma non di sicuro adesso o fra sei mesi. Inoltre anche un pin di quattro emoji, scelto in una serie di 44, sarebbe comunque vulnerabile, particolarmente se il sistema non bloccasse l’accesso dopo un certo numero di tentativi sbagliati.

Steve Gibson, titolare della Gibson Research Corporation, asserisce che “quello che non va nell’impiego di username e password è che, fondamentalmente, si tratta di un sistema obsoleto, creato vent’anni fa e si è mantenuto fino ad ora proprio perché non ne possiamo fare a meno.”

Gibson ha creato SpinRiteShields Up, due note applicazioni che contribuiscono al ripristino degli hard disk e alla scansione delle porte. Si è sempre occupato di PC e negli ultimi quindici anni ha spostato il suo campo d’interesse sulla sicurezza.

Certamente, Gibson riconosce la debolezza dell’attuale sistema username/password. “Nell’ecosistema attuale”, sostiene, “gli utenti non dovrebbero riutilizzare la stessa password” e questa vulnerabilità si riproporrebbe sicuramente anche impiegando le emoji. Anche la predilezione per password molto semplici da ricordare, come “123456”, di certo non aiuta.

Tutti sanno qual è la prassi: molti siti web richiedono di creare un account e di conseguenza ognuno si ritrova a dover gestire decine di password, e anche i password manager non possono essere ritenuti affidabili come dimostrano le recentissime disavventure di LastPass.

SQRL avrmagazine

Gibson sta lavorando con impegno a un progetto denominato SQRL, Secure Quick Reliable Login, che in Italiano si potrebbe rendere con SALV, Sicuro Affidabile Login Veloce.

Questo progetto ambisce a sottrarre le password al controllo diretto degli utenti.

Sebbene il progetto SRQL risulti ancora in fase di sviluppo e non sia ancora completamente disponibile, sappiamo che impiega una combinazione di chiavi pubbliche e private per generare identità uniche e praticamente anonime per siti integrati che solitamente richiedono username e password.

Non è basato sulle emoji, ma analogamente alla soluzione di Intelligent Environments, tenta di fare un passo in avanti rispetto alla sicurezza alfanumerica.

Non possiamo sapere se il problema delle password sarà risolto da una di queste soluzioni o da entrambe, al momento si tratta di un questione puramente teorica. Nessuna delle due strategie è attualmente percorribile, ma è altrettanto certo che se c’è qualcosa che ha le ore contate, è proprio la password.

Fonte | Wired