Gaia Bottà

Google autentica senza password

Basta una conferma a una notifica ricevuta sul proprio terminale mobile per accedere al proprio account su desktop. Mountain View sperimenta sistemi di autenticazione alternativi alla digitazione di codici di accesso

Roma - Google sta testando un sistema di autenticazione ai propri servizi che rende la digitazione della password un passaggio superfluo: è il terminale mobile ad autenticare l'utente, con una sola conferma.

Autenticazione telefonica

È noto come Mountain View diffidi dalle password, spesso configurate dagli utenti in modo inopportuno per facilitare la memorizzazione, e dei relativi sistemi di protezione come le domande di sicurezza: è per questo che sta lavorando a sistemi di autenticazione basati su numerosi parametri per identificare l'utente, dal viso al modo di digitare, dalle abitudini ai movimenti, e ha implementato soluzioni basate su token USB. Ora, in fase di sperimentazione, c'è un meccanismo che approfitta della stretta relazione che gli utenti hanno con il proprio terminale mobile.

A diffondere la notizia del test è l'utente di Reddit Rohit Paul, che ha aderito alla proposta di Google di mettere alla prova dei sistemi di sign-in sperimentali: nello specifico, si tratta di una funzione che permette di accedere ai servizi della Grande G su desktop passando da una notifica gestita tramite Google Cloud Messaging e ricevuta sul proprio terminale mobile, registrato al momento dell'accettazione del servizio.
Non c'è necessità di digitare alcunché, come invece avviene per i sistemi basati sull'invio di codici temporanei, ma solo di confermare l'accesso. La password scelta dall'utente resta valida e funzionante, ma questo sistema di autenticazione relega la composizione delle chiavi d'accesso alle situazioni in cui il dispositivo mobile non sia disponibile o non sia a portata di mano. Google ritiene che questa soluzione sia sicura e affidabile, soprattutto qualora l'utente abbia impostato un codice di blocco sul proprio terminale, così da scongiurare la possibilità che terzi ottengano l'accesso alla sua email a mezzo notifica.

Google ha confermato a Techcrunch di essere al lavoro per testare la funzione presso un limitato numero di utenti Android e iOS, ma non è dato sapere se e quando verrà implementata presso un pubblico più vasto. Yahoo, nel mese di ottobre, ha messo a disposizione Yahoo Account Key, un sistema di accesso che, parimenti a quello di Mountain View, consente di associare un terminale mobile alla propria casella di posta per guadagnare l'accesso all'email con una semplice conferma al messaggio di notifica ricevuto.

Gaia Bottà
Notizie collegate
25 Commenti alla Notizia Google autentica senza password
Ordina
  • mah... non vedo diff dal solito ... solo piu' obscurity + piu' controllo da parte di google + lockin (tutto passa da GCM, coi suoi vantaggi-svantaggi) rispetto alla tradizionale notifica ... E piu' semplicita' per i mononeuroni (invece di leggere e ricopiare una notifica dal tel al pc, muovi un dito e clicki un box).

    Chi considera una buona cosa una associazione strong tra il suo telefono (quindi reale identita e tutto il resto) e gogol, probabilmente gli piacera'.
    non+autenticato
  • Finchè il metodo rimane limitato all'ecosistema dei servizi google è "solo" una versione migliorata di un 2FA. Premere yes invece di digitare un codice ricevuto, ovvero il cellulare viene usato solo per inviare un SI o un NO.
    Io sono il CTO di un progetto Italiano, SingleID, che invece usa il cellulare per inviare non solo un SI o un NO ma anche la propria anagrafica completa. In questo modo ad ogni richiesta di login invio anche i miei dati, che risiedono solo nel mio smartphone e non in un server remoto. In questo modo si potrà essere identificati ovunque senza password e senza form filling.
    Che ci piaccia o no nei prossimi 10 anni saremo identificati tutti tramite il nostro smartphone e l'unico modo per non essere tracciati al 100% consiste nell'usare il nostro smartphone come deposito dei nostri dati, da condividere all'occorrenza quando serve e solo con chi serve.
    non+autenticato
  • > Io sono il CTO di un progetto Italiano, SingleID,
    > che invece usa il cellulare per inviare non solo
    > un SI o un NO ma anche la propria anagrafica
    > completa. In questo modo ad ogni richiesta di
    > login invio anche i miei dati, che risiedono solo
    > nel mio smartphone e non in un server remoto. In
    > questo modo si potrà essere identificati ovunque
    > senza password e senza form
    > filling.

    caro daniele, io non deleghero' mai la mia identita' ad uno smartphone o a servizi terzi, anche se gratuiti.

    > Che ci piaccia o no nei prossimi 10 anni saremo
    > identificati tutti tramite il nostro smartphone e
    > l'unico modo per non essere tracciati al 100%
    > consiste nell'usare il nostro smartphone come
    > deposito dei nostri dati, da condividere
    > all'occorrenza quando serve e solo con chi
    > serve.

    che ti piaccia o meno, spero la tua visione distopica del futuro non si realizzi mai. ma nel caso, sarei pronto a dare la vita pur di oppormi ad un'oscenita' del genere.
    non+autenticato
  • - Scritto da: marcione
    > > Io sono il CTO di un progetto Italiano,
    > > SingleID, che invece usa il cellulare
    > > per inviare non solo un SI o un NO ma
    > > anche la propria anagrafica completa.
    > > In questo modo ad ogni richiesta di
    > > login invio anche i miei dati, che
    > > risiedono solo nel mio smartphone e
    > > non in un server remoto.

    > In questo modo si potrà essere identificati
    > ovunque senza password e senza form filling.

    > caro daniele, io non deleghero' mai la mia
    > identita' ad uno smartphone o a servizi terzi,
    > anche se gratuiti.

    > > Che ci piaccia o no nei prossimi 10 anni
    > saremo
    > > identificati tutti tramite il nostro
    > smartphone
    > e
    > > l'unico modo per non essere tracciati al 100%
    > > consiste nell'usare il nostro smartphone come
    > > deposito dei nostri dati, da condividere
    > > all'occorrenza quando serve e solo con chi
    > > serve.
    >
    > che ti piaccia o meno, spero la tua visione
    > distopica del futuro non si realizzi mai. ma nel
    > caso, sarei pronto a dare la vita pur di oppormi
    > ad un'oscenita' del genere.

    Non hai una carta di credito ?
    non+autenticato
  • - Scritto da: Nome & Cognome
    > - Scritto da: marcione
    > > > Io sono il CTO di un progetto Italiano,
    > > > SingleID, che invece usa il cellulare
    > > > per inviare non solo un SI o un NO ma
    > > > anche la propria anagrafica completa.
    > > > In questo modo ad ogni richiesta di
    > > > login invio anche i miei dati, che
    > > > risiedono solo nel mio smartphone e
    > > > non in un server remoto.
    >
    > > In questo modo si potrà essere identificati
    > > ovunque senza password e senza form filling.
    >
    > > caro daniele, io non deleghero' mai la mia
    > > identita' ad uno smartphone o a servizi
    > terzi,
    > > anche se gratuiti.
    >
    > > > Che ci piaccia o no nei prossimi 10 anni
    > > saremo
    > > > identificati tutti tramite il nostro
    > > smartphone
    > > e
    > > > l'unico modo per non essere tracciati
    > al
    > 100%
    > > > consiste nell'usare il nostro
    > smartphone
    > come
    > > > deposito dei nostri dati, da condividere
    > > > all'occorrenza quando serve e solo con
    > chi
    > > > serve.
    > >
    > > che ti piaccia o meno, spero la tua visione
    > > distopica del futuro non si realizzi mai. ma
    > nel
    > > caso, sarei pronto a dare la vita pur di
    > oppormi
    > > ad un'oscenita' del genere.
    >
    > Non hai una carta di credito ?

    noSorride
    non+autenticato
  • - Scritto da: marcione
    > - Scritto da: Nome & Cognome

    > > Non hai una carta di credito ?

    > noSorride

    Ok, coerente.
    non+autenticato
  • - Scritto da: Nome & Cognome
    > - Scritto da: marcione
    > > - Scritto da: Nome & Cognome
    >
    > > > Non hai una carta di credito ?
    >
    > > noSorride
    >
    > Ok, coerente.

    Dimenticavo: Sorride
    non+autenticato
  • Non vedo differenza tra uno smartphone ed un moderno passaporto con il chip
    non+autenticato
  • - Scritto da: Daniele V
    > Finchè il metodo rimane limitato all'ecosistema
    > dei servizi google è "solo" una versione
    > migliorata di un 2FA. Premere yes invece di
    > digitare un codice ricevuto, ovvero il cellulare
    > viene usato solo per inviare un SI o un
    > NO.
    > Io sono il CTO di un progetto Italiano, SingleID,
    > che invece usa il cellulare per inviare non solo
    > un SI o un NO ma anche la propria anagrafica
    > completa. In questo modo ad ogni richiesta di
    > login invio anche i miei dati, che risiedono solo
    > nel mio smartphone e non in un server remoto.

    e per tutti gli apparati che i tuoi dati attraversano, genio. GENIO! GENIOOOOOO!!!!!


    > In
    > questo modo si potrà essere identificati ovunque
    > senza password e senza form filling.

    io non voglio essere identificato: come la mettiamo?

    > Che ci piaccia o no nei prossimi 10 anni saremo
    > identificati tutti tramite il nostro smartphone e

    nei tuoi sogni bagnati di aspirante venditore di software-fuffa, sicuramente.


    > l'unico modo per non essere tracciati al 100%
    > consiste nell'usare il nostro smartphone come
    > deposito dei nostri dati, da condividere
    > all'occorrenza quando serve e solo con chi
    > serve.

    ma ti rendi conto della straputtanata che hai scritto?

    aspetta, cerco di ripeterlo senza ridere:

    i dati conservati nello smartphone sono non tracciabili al cento per cehahahahahaha non ce la faccio, ahahahahaAHAHAHHAHAHAHAHAHAHAHA
    non+autenticato
  • Bisogna combattere l'ignoranza o bisogna lasciar correre?
    Io propongo all'autore di leggere su wikipedia la storia di SSL e poi di leggere gli sviluppi dei successivi 20 anni della tecnologia.

    Se dovesse essere troppo difficile suggerisco di vedere vojager a ripetizione
    non+autenticato
  • - Scritto da: Daniele V
    > Finchè il metodo rimane limitato all'ecosistema
    > dei servizi google è "solo" una versione
    > migliorata di un 2FA. Premere yes invece di
    > digitare un codice ricevuto, ovvero il cellulare
    > viene usato solo per inviare un SI o un
    > NO.
    > Io sono il CTO di un progetto Italiano, SingleID,
    > che invece usa il cellulare per inviare non solo
    > un SI o un NO ma anche la propria anagrafica
    > completa. In questo modo ad ogni richiesta di
    > login invio anche i miei dati, che risiedono solo
    > nel mio smartphone e non in un server remoto. In
    > questo modo si potrà essere identificati ovunque
    > senza password e senza form
    > filling.
    > Che ci piaccia o no nei prossimi 10 anni saremo
    > identificati tutti tramite il nostro smartphone e
    > l'unico modo per non essere tracciati al 100%
    > consiste nell'usare il nostro smartphone come
    > deposito dei nostri dati, da condividere
    > all'occorrenza quando serve e solo con chi
    > serve.
    e dei sistemi federati che dici? roba SAML2 / SIRAC...
    non+autenticato
  • I sistemi federati rappresentano un circolo di sistemi che si devono fidare tra di loro e saml è "solo" un sistema standard per lo scambio dei dati via xml tra questi sistemi.

    La rivoluzione sarebbe proprio quella di identificarsi senza doversi fidare di nessuna terza parte. Cosa Che tecnicamente è possibile già oggi. I più tecnici posso vedere il codice del progetto SingleID su github.
    Buone feste
    non+autenticato
  • Nè Larry Page nè Sergey Brin mi hanno mai contattato per telefono, non vedo perchè dovrei dare il mio numero a "Mr.Google".
    La password è mia e la gestisco io.
    L'autenticazione a due fattori via mobile sarà utile quando non ricorderò neppure come mi chiamo.
    non+autenticato
  • Google sa quello che cerchi, sa il tuo numero di telefono, legge le tue email, conosce la durata delle tue telefonate, registra la tua voce, conosce la tua posizione, sa quanto cammini a piedi e conosce la tua carta di credito se ti sei registrato nel play store.

    mi spiace darti queste notizie a te paladino della privacy.
    non+autenticato
  • - Scritto da: anonimo
    > Google sa quello che cerchi, sa il tuo numero di
    > telefono, legge le tue email, conosce la durata
    > delle tue telefonate, registra la tua voce,
    > conosce la tua posizione, sa quanto cammini a
    > piedi e conosce la tua carta di credito se ti sei
    > registrato nel play store.

    > mi spiace darti queste notizie a te paladino
    > della privacy.

    Il numero del mio nockia da 30E ? E come fa a saperlo ?
    non+autenticato
  • ad un utente idiota, come si risponde?
    magari istruendolo? noooo si deve idiotizzare sempre di piu il sistema! niente password, fa tutto il cellulare, eh!

    "idiocracy" e' dietro l'angolo.
    non+autenticato
  • - Scritto da: ...
    > "idiocracy" e' dietro l'angolo.

    Sinceramente dopo la valanga di detriti in cina, vedo la distanza tra mondo reale e quel film accorciarsi sempre di più...
    non+autenticato
  • - Scritto da: Jack
    > - Scritto da: ...
    > > "idiocracy" e' dietro l'angolo.
    >
    > Sinceramente dopo la valanga di detriti in cina,
    > vedo la distanza tra mondo reale e quel film
    > accorciarsi sempre di più...

    Sorpresa
    non+autenticato
  • - Scritto da: ...
    > ad un utente idiota, come si risponde?
    > magari istruendolo? noooo si deve idiotizzare
    > sempre di piu il sistema! niente password, fa
    > tutto il cellulare,
    > eh!

    Istruirlo come?
    Facendogli ricordare a memoria password belle lunghe e complesse, una differente per ogni servizio?
  • - Scritto da: Albedo 0,9
    > - Scritto da: ...
    > > ad un utente idiota, come si risponde?
    > > magari istruendolo? noooo si deve idiotizzare
    > > sempre di piu il sistema! niente password, fa
    > > tutto il cellulare,
    > > eh!
    >
    > Istruirlo come?
    > Facendogli ricordare a memoria password belle
    > lunghe e complesse, una differente per ogni
    > servizio?

    guarda , si impara.
    se poi l'utente medio ha la capacita' cerebrale di un gibbone, e' giusto che venga truffato e spazzato via. sopravvive il piu' adatto.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Albedo 0,9
    > > - Scritto da: ...
    > > > ad un utente idiota, come si risponde?
    > > > magari istruendolo? noooo si deve
    > idiotizzare
    > > > sempre di piu il sistema! niente password,
    > fa
    > > > tutto il cellulare,
    > > > eh!
    > >
    > > Istruirlo come?
    > > Facendogli ricordare a memoria password belle
    > > lunghe e complesse, una differente per ogni
    > > servizio?
    >
    > guarda , si impara.
    > se poi l'utente medio ha la capacita' cerebrale
    > di un gibbone, e' giusto che venga truffato e
    > spazzato via. sopravvive il piu'
    > adatto.

    Considerando che la sicurezza maggiore ce l'hai con:
    - la differenziazione (una password per ogni servizio e a ricambio temporale);
    - alta complessità (password belle lunghe e ricche di simboli);
    - alta casualità (nessun pattern mnemonico e nessuna correlazione tra le varie password)

    mi dici che capacità cerebrali occorrono per memorizzarsi almeno una mezza dozzina di password del genere?
  • Non è solo scomoditá. Quello delle password è un problema globale che riguarda le aziende ancora prima degli utenti. Ci sono studi ventennali che cercano una soluzione, ovviamente per chi riesce a comprendere il problema bella sua interezza.
    Cordialmente
    non+autenticato
  • Usare un altro device a mo' di portachiavi è una mossa sicuramente più sicura rispetto alla tradizionale password dell'utente medio.

    Il problema che ravviso però è nell'obbligo di connettività anche lato mobile. :/
  • - Scritto da: Albedo 0,9
    > Usare un altro device a mo' di portachiavi è una
    > mossa sicuramente più sicura rispetto alla
    > tradizionale password dell'utente
    > medio.

    a meno che l'altro device non sia gia' compromesso.

    > Il problema che ravviso però è nell'obbligo di
    > connettività anche lato mobile.
    > :/

    che alla fine e' dove google incassa: always on = steady flow of cash
    non+autenticato
  • - Scritto da: Albedo 0,9
    > Usare un altro device a mo' di portachiavi è una
    > mossa sicuramente più sicura rispetto alla
    > tradizionale password dell'utente
    > medio.
    >
    > Il problema che ravviso però è nell'obbligo di
    > connettività anche lato mobile.
    > :/

    E soprattutto col device impugnato con la mano corretta: quella del proprietario!