SlickLogin, per celebrare il funerale delle password

Da più parti si sta cercando di organizzare il “funerale delle password“. Le password da gestire ogni giorno crescono continuamente nel numero, sono difficili da ricordare, complicate da digitare, devono essere conservate in maniera sicura e, nonostante tutto, possono essere dimenticate. La stessa Google si appresta a dire addio alle password, intenzionata a presentare – nel prossimo futuro – meccanismi che permettano l’autenticazione veloce dell’utente senza più la necessità di digitare alcun dato.
Heather Adkins, manager del colosso di Mountain View, non ha fornito alcun dettaglio ma si è limitata a consigliare alle tante startup che stanno nascendo in questi mesi di abbandonare i vecchi sistemi che prevedono la messa in sicurezza delle password concentrandosi piuttosto su nuove tecniche che consentano di effettuare, ad esempio, un login in totale sicurezza senza la necessità di ricordarsi alcuna parola chiave.

Nei giorni scorsi abbiamo parlato di Bionym e del braccialetto Nymi (Nymi, il braccialetto che fa dimenticare le password), un “dispositivo indossabile” che riconoscerà il legittimo proprietario tracciando un vero e proprio elettrocardiogramma. Una volta “autenticato” l’utente, il braccialetto potrà essere usato per sbloccare qualunque dispositivo, accedere a qualsiasi servizio, attivare meccanismi di prossimità, velocizzare i pagamenti elettronici in mobilità senza l’uso di banconote e carte di credito.

In occasione dell’evento TechCrunch Disrupt, i fondatori della startup SlickLogin hanno presentato l’omonima soluzione che utilizza lo smartphone come “lasciapassare” per l’accesso a qualunque genere di servizio. Se e solo se il telefono dell’utente sarà posto accanto al computer, dopo una serie di controlli, SlickLogin effettuerà automaticamente l’autenticazione sul sito che si sta visitando.
Per verificare la posizione dello smartphone dell’utente ed accertarsi che esso sia realmente posizionato accanto al computer, SlickLogin può usare una serie di strumenti: connessione WiFi, Bluetooth, NFC, GPS e codici QR. Il computer produrrà, quindi, un segnale sonoro non udibile dall’orecchio umano che sarà raccolto ed analizzato dal software installato sullo smartphone.
Tutte le comunicazioni avvengono in forma cifrata così da evitare qualunque attacco di tipo “man-in-the-middle“. Non è possibile, ad esempio, registrare l’audio riprodotto dagli speaker del computer per utilizzarlo successivamente. Il segnale sonoro è infatti legato al preciso momento in cui esso viene riprodotto.
E se qualcuno rubasse il telefono? “Se un malintenzionato può accedere al contenuto dello smartphone, può già avere gioco facile sugli account dell’utente“, ha dichiarato uno dei fondatori di SlickLogin che, insieme con gli altri due sviluppatori, era precedentemente in forze presso il Dipartimento della Sicurezza Israeliano.

Per rendere compatibile un sito web con SlickLogin, spiegano gli autori, non ci sarà molto lavoro da fare: basterà aggiungere solamente cinque righe di codice.