I ricercatori IBM hanno sviluppato una nuova tecnologia di autenticazione mobile sicura, basata sullo standard radio noto come NFC (Near-Field Communication). La tecnologia fornisce un livello di sicurezza supplementare quando per eseguire transazioni mobili si utilizzano un dispositivo abilitato per NFC e una smart card senza contatti,come nel caso di operazioni di banking online e di firme digitali richieste per accedere a un'intranet aziendale o a un cloud privato.
Secondo un nuovo rapporto di ABI Research, nel 2014 il numero di dispositivi NFC in uso supererà i 500 milioni. Questo dato abbinato al fatto che 1 miliardo di utenti di telefonia mobile si serviranno dei propri dispositivi per eseguire operazioni bancarie entro il 2017 creano un bersaglio sempre più interessante per gli hacker. Per affrontare queste sfide, i ricercatori del centro di ricerca IBM di Zurigo, già ideatori del sistema operativo usato per proteggere centinaia di milioni di smart card, hanno messo a punto una soluzione più sofisticata, una cosiddetta autenticazione a due fattori.
la soluzione IBM per il pagamento sicuro
Oggi sono già in molti a utilizzare l’autenticazione a due fattori, cioè due meccanismi di autenticazione complementari come ad esempio quando da un computer viene chiesto di fornire sia una password sia un codice di verifica inviato via SMS. I ricercatori IBM hanno applicato lo stesso principio utilizzando un PIN e una contactless smart card, che potrebbe essere una tessera bancomat emessa da una banca o una carta d’identità rilasciata da un datore di lavoro, per abilitare l’accesso all’intranet aziendale o a un cloud privato.
"La nostra tecnologia di autenticazione a due fattori, basata sull’Advanced Encryption Standard (AES), fornisce una soluzione di sicurezza solida, senza la necessità di imparare procedure complicate", spiega Diego Ortiz-Yepes, mobile security scientist presso IBM Research.
E’ sufficiente che l'utente tenga la contactless smart card vicino al lettore NFC del dispositivo mobile e, una volta inserito il proprio codice di identificazione personale PIN, la carta genera un codice usa e getta, che viene poi inviato al server tramite il dispositivo mobile. La tecnologia IBM si basa su una crittografia end-to-end tra la smart card e il server perchè utilizza la crittografia AES definita dal NIST. Le tecnologie attualmente disponibili prevedono che l’utente porti con sé un dispositivo supplementare, ad esempio un generatore di password causali, che è meno comodo e in alcuni casi meno sicuro.
La tecnologia, già disponibile per qualsiasi dispositivo Android 4.0 abilitato per NFC, si basa su IBM Worklight, una piattaforma applicativa mobile acquisita da IBM nel 2012. Gli aggiornamenti futuri riguarderanno altri telefoni abilitati a NFC, sulla base dei trend di mercato.