Chiunque utilizzi degli account online sa bene quanto possa essere caotico memorizzare e ricordare la posizione di molti nomi utente e password. Ricercatori finanziati dall’UE hanno svelato una nuova piattaforma di autenticazione mobile che connette tutti gli account online con l’identità dell’utente, affidando il controllo allo smartphone.

Economia digitale

La maggior parte dei dispositivi è collegata con centinaia di account e applicazioni, con tutti i tipi di impostazioni di sicurezza, identità e password. Il progetto ReCRED, finanziato dall’UE, ha prodotto delle soluzioni software avanzate per affrontare questo cosiddetto problema del sovraccarico di password, in modo che un utente possa accedere con sicurezza ai propri account senza dover ricordare molte password. Solo una password da memorizzare ReCRED si spinge oltre l’era delle password fornendo un’architettura avanzata e flessibile. «Lo sfruttamento dell’architettura di autenticazione dispositivo-centrica è fondamentale per eliminare le password quale metodo principale di autenticazione sulla rete», osserva il coordinatore del progetto Christos Xenakis. Questo schema migliora la sicurezza su Internet dell’utente finale utilizzando il telefono cellulare come un proxy di autenticazione. Autenticazione e autorizzazione esigono l’uso combinato di un breve codice segreto, informazioni biometriche e credenziali anonime. Identità dell’utente e gestione dell’account La maggioranza degli utenti di Internet è iscritta a molti servizi online quali, per esempio, provider di posta elettronica, social media, automazioni del sistema bancario o applicazioni aziendali. Questo rende difficile il compito di dimostrare la comproprietà dei servizi. ReCRED offre un accesso sicuro a questi servizi e la gestione dell’account da un singolo dispositivo, a prescindere dal metodo di autenticazione applicato da ciascun servizio. Il modulo Online Identity Acquisition ha il compito di unire orizzontalmente le frammentate identità online dell’utente. Il servizio consente all’utente di autorizzare esplicitamente ReCRED ad accedere alle informazioni di ogni account online che conserva. I ricercatori hanno anche implementato il modulo «Physical Identity Acquisition» per servizi che richiedono un livello più elevato di garanzia degli attributi. Questo servizio verifica tutti gli attributi dell’identità inclusi nell’identità fisica dell’utente. Con tutti questi servizi, ReCRED sta migliorando la garanzia dell’identità e rende più stretto il legame tra identità fisiche e identità online. «Gli utenti finali sono ora in grado di dimostrare la titolarità di differenti account da differenti fornitori di identità, collegarle assieme e consolidare gli attributi della loro identità», afferma il coordinatore del progetto Xenakis. Una tecnologia che migliora la privacy Uno scenario tipico che mostra l’intero mondo delle identità degli utenti è collegato ad alcuni servizi che chiedono agli utenti finali di registrarsi per ottenere l’accesso. Implementare il controllo dell’accesso basato su attributi (ABAC) – chiamato modello di autorizzazione di prossima generazione – sembra essere una delle soluzioni migliori per la sicurezza incentrata sui dati. ReCRED ha combinato il controllo ABAC con schemi di autenticazione multifattoriale, apportando un livello più elevato di sicurezza e privacy. «Le caratteristiche o attributi dell’utente, quali età, nazionalità o lavoro, costituiscono un’identità unica che può fornire privilegi di autorizzazione per l’accesso a dati, risorse o servizi», sintetizza il coordinatore del progetto Xenakis. Come spiega ulteriormente, «ABAC consente agli utenti finali di autenticarsi fornendo solo gli attributi necessari richiesti dal servizio. Le credenziali anonime forniscono accesso a servizi senza richiedere all’utente di convalidare la propria email e di rivelare così la sua completa identità». Raddoppiare la sicurezza Il dispositivo che diventa il principale portale di autenticazione presenta comunque dei problemi di sicurezza. Esso può diventare un singolo punto di errore in caso di perdita o danno oppure può essere vulnerabile all’appropriazione dopo l’autenticazione dell’utente. ReCRED ha evitato questi problemi costruendo dei livelli ulteriori di sicurezza con capacità di blocco e recupero. In particolare, i ricercatori hanno usato a proprio vantaggio un’entità chiamata consolidatore di identità (IDC) insieme a firme comportamentali e psicologiche dell’utente e protocolli secure-SIM per verificare l’identità dell’utente. L’IDC consente il consolidamento e la gestione dell’identità, permettendo allo stesso tempo un efficiente recupero dopo un errore. «Nel caso un utente perda il suo dispositivo, può recuperare l’accesso ai servizi fornendo un’autenticazione a due fattori, come per esempio attributi personali rilevati da caratteristiche fisiche o biometrica comportamentale», osserva il coordinatore del progetto Xenakis. L’eliminazione del bisogno di utilizzare password separate finirà per rendere più facili da usare i servizi basati su Internet, pur mantenendoli sicuri. Oltre agli utenti finali, altri soggetti che beneficeranno di questa nuovissima piattaforma aperta saranno gli operatori delle telecomunicazioni, aziende di hosting di siti web e produttori di dispositivi mobili.

Parole chiave

ReCRED, autenticazione, account, dispositivi mobili, identità utente, controllo accesso basato su attributi (ABAC), credenziali anonime, biometrica, autenticazione dispositivo-centrica, autenticazione a due fattori