Lo Swiss Federal Institute of Technology ha sviluppato un sistema di autenticazione basato sui rumori ambientali : si chiama “Soud-Proof” (a prova di suono) ed ha l’obiettivo di rendere le password più sicure senza al contempo complicare il login ai servizi online.
Si tratta , in pratica, di un nuovo sistema di autenticazione a due fattori: la stessa per esempio implementata da Apple per iCloud dopo la violazione di diversi account VIP e la diffusioni di foto molto private in quello che è diventato noto come The Fappening .
Nel suo sistema Cupertino affianca alla password personale un altro codice a quattro cifre inviato al momento del log in al dispositivo mobile del titolare. La logica è quella di aggiungere un ulteriore grado di verifica costituito da un elemento a scadenza e in quanto tale non soggetto al furto, e che rende inutili eventuali password ottenute se non si ha anche il dispositivo cellulare della vittima designata.
Invece di un codice alfanumerico, lo strumento ideato dall’Istituto Tecnologico svizzero (che verrà presentato ufficialmente nel corso della conferenza di sicurezza Usenix ) utilizza i rumori ambientali per autenticare le credenziali di login inserite: senza bisogno dunque di dover controllare il proprio smartphone (che comunque deve trovarsi vicino al computer da cui si tenta il login) per un ulteriore codice da inserire.
Il processo per l’utente sembra particolarmente agevolato: quando si vuole accedere ad una pagina protetta da password che impiega la tecnologia Sound-Proof, questo accende automaticamente il sistema di riconoscimento dei suoni ambientali, avviando una verifica simile attraverso l’app corrispondente che deve essere installata sul proprio dispositivo mobile . Se i due dispositivi riconoscono il medesimo suono ambientale si può ottenere l’accesso al sistema. I rumori, insomma, fungono da firma digitale ambientale.
Il sistema non è naturalmente immune da difetti. Necessita di una connessione ad Internet e può essere aggirato da un hacker particolarmente determinato, con stratagemmi più o meno articolati: come seguire la vittima dopo avergli carpito la password.
Claudio Tamburrino