World Password Day | Dalla password giusta alla soluzione “senza password”: i consigli di ToothPic per un’autenticazione sicura
Scritto da Davide Macor il 13/05/2021
Utilizzare password efficaci e costantemente aggiornate è uno dei primi passi da fare per proteggere i propri dati sensibili online. A ribadirlo, in occasione del World Password Day del 7 maggio, è ToothPic, la startup innovativa operante nel settore della cyber-security e la cui mission è aiutare le organizzazioni a proteggere i loro servizi digitali. Fondata da Diego Valsesia, Giulio Coluccia, Tiziano Bianchi, Enrico Magli – 4 ricercatori e professori del Dipartimento di Elettronica e Telecomunicazioni del Politecnico di Torino – ToothPic ha infatti inventato, progettato, sviluppato e brevettato una soluzione per trasformare ogni smartphone in una chiave sicura per l’autenticazione online, sfruttando la firma nascosta e involontaria che lascia ciascuna fotocamera.
“Il furto e la compromissione di password e credenziali di accesso ai servizi web rappresentano le vulnerabilità più comuni e sono causa di quasi il 40% dei cyber attacchi*”, ricordano i fondatori di ToothPic.
Per questo Toothpic ha stilato un vademecum – da consultare proprio durante il World Password Day – con alcuni accorgimenti da adottare per diminuire il rischio di eventuali furti di credenziali e mantenere al sicuro i propri dati online.
1. Non riutilizzare la stessa password per accedere a più servizi.
2. Evitare di cliccare su link contenuti in messaggi o email, anche se in arrivo da mittenti che a prima vista risultano fidati o conosciuti, in cui vengono chiesti dati di autenticazione.
3. Aggiornare password troppo deboli che possono facilitare gli hacker, permettendo loro di intervenire con attacchi diretti a brute force (forza bruta). Più le password sono lunghe e non banali, più saranno difficili da decifrare.
4. Proteggere gli stessi smartphone e computer con un codice, una password o una biometria che ne renda quantomeno sicuro il contenuto.
5. Attivare sempre l’autenticazione multifattore, prediligendo autenticatori basati sui token o app rispetto ai codici inviati tramite sms.
“Purtroppo i numerosi furti di credenziali avvenuti nell’ultimo anno testimoniano quanto i metodi di accesso tradizionali ancora oggi siano troppo vulnerabili, oltre che poco user-friendly, soprattutto per aziende, istituti finanziari e Pubblica Amministrazione”, sottolineano i fondatori di ToothPic. “Se storicamente era necessario dimostrare la conoscenza di una password per accedere a un servizio web, oggi è consigliabile affiancare un altro fattore di verifica come quello di possesso (smartphone, token, smartcard) o biometrico realizzando così schemi di Multi-Factor Authentication (MFA). Nonostante tale pratica sia fortemente raccomandata, essa è ancora largamente facoltativa per l’utente, che spesso non la attiva per ragioni di usabilità”.
La soluzione passwordless di ToothPic
ToothPic nasce quindi proprio per proteggere gli assetti digitali mettendo a disposizione l’unicità tecnologica della sua soluzione multifattore. La tecnologia di ToothPic, attualmente protetta da 4 brevetti, trasforma lo smartphone di ogni utente in una chiave per l’autenticazione online passwordless, garantendo una soluzione più competitiva lato sicurezza, usabilità, integrazione e costi rispetto agli approcci comunemente utilizzati per accedere online.
ToothPic infatti custodisce le chiavi del dispositivo criptandole con un segreto estratto da una caratteristica hardware del dispositivo stesso: le imperfezioni di fabbricazione uniche e inclonabili dei sensori fotografici, che rendono ogni dispositivo diverso da ogni altro mai prodotto. Utilizzando la tecnologia di ToothPic, il dispositivo non espone mai la chiave segreta mantenendola al riparo dai malware. Anche nel caso in cui gli hacker fossero in grado di clonare interamente la memoria del device, non sarebbero in grado di usare la credenziale in quanto il device “clone” non sarebbe dotato dell’unica fotocamera in grado di rigenerarla – che appartiene solo al dispositivo su cui essa è stata generata.
Il sistema di ToothPic è stato inoltre progettato per essere il più user-friendly e frictionless possibile: l’utente non deve fare altro che tenere il proprio telefono in mano, durante il processo di autenticazione, che può essere attivato con un singolo click sullo smartphone, eseguibile anche mentre l’utente sta svolgendo altre operazioni, come l’inserimento del suo username, rendendo la procedura completamente trasparente. “Perché le password siano efficaci – spiegano i fondatori di ToothPic – dovrebbero essere tutte diverse tra loro e difficili da ricordare. Una pratica che può risultare complicata per gli utenti, che sono così portati ad utilizzare una sola password per accedere a tutti i servizi digitali, aumentando il rischio legato al furto di dati. Il nostro sistema permette di evitare proprio questa problematica”.
Infine, la tecnologia di ToothPic è stata intenzionalmente implementata sotto forma di SDK, da inserire in applicazioni terze e compatibile con i sistemi operativi Android e iOS, al fine di ridurre al minimo i costi di supporto che invece risultano essere molto alti nel caso delle password. Basti pensare che ogni singolo reset di una password dimenticata non solo compromette sicurezza e usabilità, ma ha un costo pari a 70$**.