Alfonso Maruccia

Google e l'autenticazione conto terzi

Una nuova modalità di utilizzo delle credenziali di Google+. App e siti Web potranno usare i dati di accesso di BigG per identificare gli utenti. Con più attenzione alla privacy, dicono da Mountain View

Roma - Nella speranza di dare maggiore visibilità al suo sempre indefinito servizio "social-non-social" Google+, Mountain View è ora in procinto di implementare un nuovo servizio di autenticazione utilizzabile da app o anche su Web da soggetti di terze parti. Come Facebook ha insomma già fatto anni or sono con Facebook Connect, ora anche Google intende proporre agli utenti di autenticarsi su siti e servizi esterni usando le credenziali di accesso proprie di Google+. La regola vale naturalmente anche per le app scaricate dagli store eterodiretti di iOS e Android.

Di suo, il sistema di login di Google+ ci metterà un controllo più granulare: l'utente potrà decidere cosa condividere e con chi grazie alla funzionalità "circoli" integrata in Google+.

I primi partner che introdurranno l'autenticazione tramite Google+ includono The Fancy (a cui è arrivata una torta di felicitazioni dal Googleplex), USA Today, OpenTable e pochi altri. In più, il nuovo servizio permetterà finalmente di conoscere con maggior precisione quanti utenti - al di là dei roboanti numeri ufficiali forniti da Google - usano davvero il network social-non-social di Mountain View.
Una delle caratteristiche evidenziate da Google per il nuovo servizio di autenticazione "universale" è la sicurezza grazie all'uso di uno schema a doppio fattore, ma proprio l'autenticazione a doppio fattore adottata da Mountain View (non quella di Google+, quella fin qui in uso per accedere ad esempio su Gmail) è stata recentemente "bucata" da Duo Security. I ricercatori hanno infatti individuato un problema potenzialmente molto grave nella gestione delle password specifiche per singole app, una funzionalità pensata per fare il login su una app o un servizio senza servirsi della password principale.

Le password per app avrebbero dovuto funzionare solo in un caso e in quello soltanto, ma Duo Security ha scoperto che tali password possono essere riutilizzate per connettersi al profilo Google di un utente su smartphone o Chromebook. Ora il "baco" è stato risolto, e Google rassicura sulla sicurezza dei suoi servizi: pur ammettendone la riutilizzabilità, venire in possesso delle password specifiche per app non è mai stata davvero una possibilità alla portata di hacker e malintenzionati.

Alfonso Maruccia
3 Commenti alla Notizia Google e l'autenticazione conto terzi
Ordina