Sono anni, ormai, che si parla della necessità di superare le password come strumento di autenticazione. I limiti delle parole d’accesso sono noti: una password, per essere efficace, deve essere lunga, comprendere numeri, maiuscole, caratteri speciali e non essere prevedibile.
Insomma: la password perfetta dovrebbe essere un’accozzaglia di caratteri generati casualmente e, di conseguenza, impossibile da ricordare. Il risultato è che, nella stragrande maggioranza dei casi, gli utenti scelgono password “deboli” esponendo i loro account al rischio di furto.
Certo, qualche passo avanti è stato fatto con i password manager e i sistemi di autenticazione a due fattori. I primi, però, presentano il problema di richiedere (ancora) una password principale, mentre o secondi hanno tuttora una scarsa diffusione.
Rimangono i sistemi di riconoscimento biometrici, ma la loro implementazione pone altri problemi. Riconoscimento facciale, dell’iride o delle impronte digitali richiedono strumenti dedicati, che non sono presenti su tutti i dispositivi che vengono utilizzati. Arrivare a uno standard, quindi, è piuttosto difficile.
A cercare di risolvere la questione ci sta pensando Google, attraverso la sua divisione Advanced Technologies and Projects. Il progetto si chiama Abacus e mira a creare un ecosistema che sia in grado di verificare l’identità degli utenti attraverso altri parametri.
Abacus cambia la prospettiva e punta ad associare l’identità di un individuo al dispositivo che usa. Ma come verificare che non lo stia usando qualcun altro? Ecco il colpo di genio: il controllo avviene monitorando costantemente il comportamento dell’utente e creandone un profilo (e se non lo sanno fare quelli di chi Google, chi altro?) che viene utilizzato per generare un Trust Score.
A creare il profilo concorrerebbero diversi elementi: il tipo di attività su Internet e le app usate più di frequente, ma anche i luoghi frequentati abitualmente, il modo di digitare sul dispositivo o il modo di parlare al telefono. Insomma: tutto.
Fino a quando l’utente si comporta come previsto, viene considerato affidabile. Se devia dagli schemi usuali, diventa “sospetto”.
L’obiettivo, nel lungo periodo, sarebbe quello di introdurre il sistema su tutti i dispositivi Android. Ma già dal prossimo mese partirà un programma di sperimentazione in collaborazione con alcune banche.
Rimane da vedere quante persone siano disposte a farsi passare ai raggi X per ogni singolo minuto della giornata semplicemente allo scopo di potersi autenticare in maniera sicura con la propria app di homebanking.