Mi son trovato a registrare recentemente un nuovo account gmail per lavoro e mi sono accorto della nuova autenticazione utilizzata da Google per la creazione dell'account. Una procedura molto veloce ti permette, dopo aver inserito i tuoi dati personali, di aggiungere il tuo numero di telefono al quale viene inviato un codice per sms, che inserito nella maschera di registrazione permette di finalizzare la creazione dell'account Google.
Mi sono accorto che lo stesso meccanismo di autenticazione con invio password via sms è stato introdotto anche da Facebook.
Cercando nel blog di Google mi sono accorto che la funzionalità è stata introdotta alcuni mesi fa. E' stata introdotta sia per i nuovi accounts che per quelli già esistenti.
E' un passo addizionale nel processo di registrazione, ma che sicuramente migliora la sicurezza di Google perchè richiede la combinazione di qualcosa che sai (username e password) e di qualcosa che hai (il telefono). Un hacker dovrebbe avere accesso ad entrambi per poter guadagnare l'accesso al nostro account. Tra le opzioni aggiuntive, è possibile scegliere "Ricorda di fare la verifica per questo computer tra 30 giorni", ed è anche possibile aggiungere una one-time-application-password per registrarti all'account da applicazioni non basate su browser che sono progettate per chiedere solo una password, e che non possono chiedere per l'inserimento di quel codice.
Il senso della vita
Bisogna però ricordarsi che sicurezza aggiuntiva comporta anche complessità aggiuntiva. Sono d'accordo sul fatto che Google voglia procedere nell'intento di proteggere l'identità degli utenti, ma dobbiamo ricordarci che l'autenticazione oltre che sicura deve essere semplice ed intuitiva da usare. L'idea di Google non solo aggiunge un livello extra di sicurezza, ma aggiunge anche un livello extra di complessità perchè gli utenti avranno bisogno sia del proprio computer che anche del proprio cellulare per accedere a Google ed a Youtube, o a Facebook nell'altro caso. Le password verranno ancora dimenticate, i cellulari verranno persi, e nessuno di questi problemi è risolto con questo tipo di autenticazione a due fattori. Esistono ad esempio soluzioni che generano password sicure con sistemi ad un fattore, senza la necessità di tokens hardware, facili da usare perchè utilizzano patterns piuttosto che stringhe e numeri, che rendono l'autenticazione più semplice invece che più complicata.
Mi riferisco ad esempio al meccanismo di protezione di Android e iOS che utilizza le gestures: non sarebbe più semplice un meccanismo di autenticazione studiato su questi schemi?