L’era delle password è finita per Google: login via notifica su smartphone è il nuovo servizio, in fase di sperimentazione, pensato per eliminare la classica password testuale sostituendola con un efficiente sistema di accesso basato su dispositivi mobili. In pratica, una volta associato uno smartphone all’account Google, in fase di accesso i server di Mountain View invieranno una conferma di login sul display del telefonino: cliccando “sì” sarà possibile completare l’autenticazione. In modo facile e veloce, ma altrettanto sicuro rispetto alla password tradizionale?

Google: login via notifica. Come funziona.

Fino a oggi, per accedere a un qualsiasi account è bastato inserire la classica password. Con tutti i limiti di sicurezza che questa procedura comporta: password troppo elementari, poco sicure o facilmente indovinabili sono la prima causa dei furti di identità virtuali, profili, account, e-mail e via dicendo. Ancora oggi un numero impressionante di persone decide di proteggere dati sensibili e preziosi con parole come “pippo”, “pluto”, “123456”, “ciao” e così via.

Una manna dal cielo per i criminali informatici, che in molti casi non devono nemmeno ricorrere a complicati software per indovinare e violare password così banali.

Con il nuovo anno ecco spuntare (per ora, solo come test) il nuovo servizio di Google: login via notifica. Questa funzione, per ora estesa in fase beta a un numero limitatissimo di utenti nel mondo, prevede l’utilizzo di due dispositivi: un computer (desktop, notebook, tablet) e uno smartphone.

Fino a oggi Google ha utilizzato differenti procedure per potenziare la sicurezza dei propri account: oltre al normale login con password, ha introdotto con successo il login in due passaggi, dove ad ogni tentativo di accesso l’utente si vede recapitare sul telefonino un SMS con un codice di sicurezza aggiuntivo, da inserire sul primo dispositivo per completare la procedura di accesso.

La verifica in due passaggi complica la vita dei pirati informatici proprio perché il solo possesso della password non è sufficiente per entrare nell’account Google di un utente: senza lo smartphone associato e il conseguente codice di sicurezza, l’account resta al sicuro.

Il servizio login via notifica di Google va oltre, scavalcando completamente il concetto di password. Il primo passaggio consiste nell’associare un dispositivo mobile all’account Google, dimostrando così di essere effettivamente proprietario dello smartphone (o anche del tablet) associato.

Ad ogni successivo accesso all’account, sia sul dispositivo iniziale che attraverso qualsiasi altro dispositivo, sullo schermo dello smartphone (o tablet) associato apparirà un messaggio di conferma, a cui si potrà rispondere con un “sì” o un “no”: a quel punto, la procedura di accesso verrà automaticamente completata portando l’utente Google all’interno del suo profilo. La sicurezza così si sposta in maniera definitiva dall’uso della password al possesso fisico dei dispositivi.

Google: login via notifica. I limiti dell’esperimento e i rischi per la sicurezza

Porre fine all’era delle password è un obiettivo ambizioso. Prima ancora di Google e del suo esperimento di login via notifica, Yahoo ha sperimentato un servizio analogo per i propri utenti chiamato Yahoo Account Key, includendolo all’interno del nuovo servizio Mail. Google, dal canto suo, punta a estendere su scala mondiale la sostituzione delle password in virtù di un sistema più sicuro. Almeno sulla carta.

Già, perché coinvolgere due dispositivi nella medesima procedura di login da un lato comporta un aumento della sicurezza, dall’altra (in caso di smarrimento o furto dei dispositivi) spalanca le porte dell’account ai malintenzionati. Pensiamo, ad esempio, di perdere una valigetta contenente notebook e smartphone, entrambi associati per il login via notifica di Google.

In questo caso, sarà sufficiente sbloccare lo schermo smartphone per completare la procedura, con un meccanismo mediamente più semplice di quello impiegato per risalire a una password complessa utilizzata per proteggere un account Google con il “vecchio” sistema di credenziali testuali.

Per prevenire questi casi, Google rende utilizzabile il servizio di login via notifica solo su dispositivi mobili dotati di blocco del display, lasciando all’utente la scelta del metodo più sicuro per proteggere il dispositivo in questione: inutile dire, in questi casi, che il classico pin “1234” o simili renderebbero inutile il meccanismo di sicurezza “no password” di Google.

In aggiunta, a tutti i partecipanti della fase di test Google ha comunicato una procedura rapida per bloccare all’istante i dispositivi mobili smarriti (o rubati) associati agli utenti, in modo da minimizzare il rischio di intrusioni nell’account da parte di malintenzionati e curiosi.

Altro punto da chiarire resta quello dell’accessibilità al servizio: in caso di viaggi all’estero o in zone non coperte dal proprio operatore, il login via notifica rende necessario connettere due dispositivi alla rete dati (computer e dispositivo mobile).

Oltretutto, non è necessariamente detto che lo smartphone si trovi sempre a fianco del computer, fisso o portatile che sia: cosa succede, per esempio, quando lo si dimentica a casa o sulla scrivania dell’ufficio? Oppure, ancora: cosa fare se il telefonino si scarica? In questi casi di emergenza, rassicura Google, anche avendo attivato il login via notifica l’accesso “tradizionale” via password sarà sempre disponibile per tutti gli utenti.

Google: login via notifica. I vantaggi dell’esperimento

Nonostante le ovvie criticità del nuovo sistema di login via notifica, diversi sono i vantaggi per gli utenti Google: login via notifica protegge efficacemente dal phishing. Mail truffaldine e siti dove si richiedono le credenziali di accesso Google diventeranno inutili, non venendo più utilizzata una password tradizionale per il login. Allo stesso modo, ogni singolo accesso potrà essere monitorato in tempo reale sullo smartphone.

Se anche qualcuno dovesse risalire alla password testuale e tentare di entrare nell’account, attraverso la notifica su dispositivo mobile è possibile bloccare il tentativo di login non autorizzato. Impostando un sistema di accesso efficace sul dispositivo mobile associato, quindi, il servizio login via notifica aumenta considerevolmente il livello di sicurezza generale di un account Google.

Da ultimo, proviamo a pensare quante volte nella nostra vita abbiamo dimenticato una password, rendendo necessario attivare la procedura di recupero. Un momento, però: quale indirizzo e-mail avevamo utilizzato per la registrazione? Ed ecco tentare, una ad una, tutte le nostre mail nella speranza di indovinare quella effettivamente associata a Google: login via notifica elimina il problema, semplicemente eliminando la password e la necessità di ricordarla.

Google: login via notifica. Gli sviluppi futuri

La sicurezza del nuovo sistema di login via notifica proposto da Google può ulteriormente essere potenziata. In questo caso entrano in gioco due fattori fondamentali: la capacità dell’utente di adottare “sani e robusti principi di sicurezza web” (imparando a conoscere, ad esempio, le truffe più comuni sulla Rete ed evitando di divulgare password, dati di accesso etc…) e l’utilizzo dei nuovi sistemi di riconoscimento utente, basati sulla biometria.

Sempre più smartphone e tablet integrano a livello hardware sensori per la lettura di impronte digitali, scanner per il riconoscimento di retina, iride e volto. Soluzioni diverse in fase di sperimentazione da parte di produttori come Apple, Samsung, Microsoft che offrono una nuova frontiera per la sicurezza informatica: quella basata sul riconoscimento fisico dell’utente. Questi sistemi possono efficacemente soppiantare l’uso di password e pin sui dispositivi mobili, permettendo il funzionamento ideale del servizio Google di login via notifica.

Il futuro della sicurezza informatica è rappresentato da nuovi sistemi di accesso, sempre più sicuri e tagliati “su misura” sui singoli utenti, in grado di rendere difficile la vita a pirati informatici e cybercriminali.