Ogni giorno, o quasi, sembra esserci una qualche violazione di dati. Dalla banca alle chiacchiere con gli amici, la persona media trascorre ogni giorno circa di 10 ore online. La maggior parte dei siti online utilizzati quotidianamente sono protetti da una semplice password.

La maggior parte delle violazioni di sicurezza si verificano a causa di qualche imprecisione umana nella progettazione. Una password può diventare facile da indovinare, poiché gli studi dimostrano che con 10.000 delle password più comuni, come 123456 o qwerty, è possibile al 98% di tutti gli account.

Altri punti fallimentari provengono dagli errori che le persone commettono lasciando i loro browser aperti nei computer pubblici, scrivendo le parole su carta o su qualche file dei propri device o semplicemente venendo ingannati nel dare i loro dati di accesso.

Anche se sappiamo che alcune password sono più sicure di altre, tendiamo a ignorare questa regola a favore dell’utilizzo di codici facili da ricordare, la paura di dimenticarle è più forte del timore di essere violati.

Le violazione di dati, ormai, sono sui titoli dei giornali

Dal primo utilizzo di una password, nel 1961 al Massachusetts Institute of Technology, i sistemi di autenticazione sono andati molto avanti. Oggi, i computer moderni usano una forma di hashing chiamata “salatura”. Tuttavia, poiché molte password sono eccessivamente semplici e molti sistemi consentono all’utente di poter tentare più volte di indovinare, i sistemi di sicurezza basati sulle password restano vulnerabili all’hacking.

Nel 2011, gli hacker hanno rubato 77 milioni di password dalla Sony PlayStation Network. Nel 2012, 400.000 a Yahoo! e agli indirizzi email collegati. Anche le password di iCloud di Apple sono state hackerate, nel 2014 le foto private di alcune celebrità sono state rese pubbliche. Durante lo stesso anno, cinque milioni di password Gmail sono state violate e pubblicate online. Questi sono alcuni esempi dell’enorme violazioni di dati avvenute nel mondo, altre potete trovarle qui.

I gestori di password non sono affidabili al 100%

In questo contesto, è aumentata la popolarità dei gestori delle password come LastPass o 1Password, che liberano gli utenti dal dover ricordare le loro chiavi d’accesso. Questi gestori possono generare password sicure e casuali per ogni account.

Tuttavia, utilizzando una terza parte sul Web che memorizzi le proprie password è possibile hackerarla, come nel caso di LastPass nel 2015. La piattaforma ha subito una violazione di dati che indirizzavano alle e-mail degli utenti, alle password cifrate e a quelle sui promemoria.

Gli username e le password sono obsoleti?

Il mondo della crittografia è stato relativamente rapido nel permettere il login senza l’utilizzo di password. Cominciò quando Satoshi Labs offriva agli utenti Trezor Connect, che consentiva di accedere ai siti web, aderenti a questa iniziativa, semplicemente collegando un portafoglio hardware.

La comunità crypto ha mostrato un grande interesse, recentemente, al primo Secure Quick Reliable Login (SQRL) al mondo che utilizzasse sia i QR code sia la crittografia a chiave pubblica, la base di Bitcoin, che permette il login senza l’utilizzo delle password.

Questi sviluppi dimostrano solo che lo username e la password non sono necessari per raggiungere relazioni sicure client-server online.

Blockchain: la soluzione 

Il problema alla base di tutto è l’architettura centralizzata del database, che memorizza gli accessi e le password sullo stesso server. Questo comporta che, se hackerato, è possibile accedere a tutti i dati presenti. Sfortunatamente, anche l’autenticazione a due fattori (2FA), è stato dimostrato, essere penetrabile attraverso l’ingegneria sociale.

REMME è una start up che cerca di oltrepassare le password, eliminando così il fattore umano dal processo di autenticazione e quindi impedendo che tali attacchi siano possibili. REMME sostiene che risolvendo il problema del server centrale non sarà più possibile essere hackerati. Gli attacchi dannosi come il phishing, le violazioni di server e di chiavi d’accesso diventeranno inutili visto che non saranno più necessarie le password.

REMME, le sostituisce, fornendo a ciascun dispositivo un certificato SSL specifico. I dati sono gestiti dal sistema Blockchain, quindi qualsiasi attestato falso non può funzionare. Utilizzando questo metodo, l’accesso è possibile senza l’utilizzo di nessun database di autenticazione, eliminando il suo server e le relative password. Di conseguenza, gli hacker non hanno alcun server centrale come potenziale bersaglio, il che significa che non vi sono punti deboli. REMME garantisce “la protezione del 100% contro gli attacchi comuni”.

Per usufruire di questo servizio sarà necessaria solo una rapida installazione, che secondo la società consentirà “ai potenziali clienti di risparmiare sui costi di integrazione”. La startup permette, per un livello di protezione aggiuntivo, oltre al 2FA, di utilizzare questo sistema con tutte le apps già installate sul proprio mobile.

L’obiettivo di questo sistema è quello di costruire un’infrastruttura di chiavi pubbliche (PKI) in cima allo standard x.509 utilizzando la Blockchain. Questo insieme di politiche ha il potenziale di risolvere molti problemi in materia di sicurezza, per questo REMME si sta concentrando sull’IoT (internet delle cose), le infrastrutture finanziarie e le aziende legate alla Blockchain.

Riusciranno a decollare questi processi innovativi? Alla fine della giornata, conterà solo quante violazioni di dati personali i consumatori saranno disposti a sopportare.

Author: Michele Centomo

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *