Stop al generatore di password. Addio alle classiche password ‘password’ e ‘123456’, oppure ‘qwerty’. Il mondo delle parole segrete si sta per evolvere e non serviranno più password alfanumeriche. La soluzione sarà abbracciare le immagini, grazie a un nuovo studio dei computer scientist dell’Università di Surey.
L’alternativa al generatore di password: lo studio
La ricerca dimostra infatti un sistema di autenticazione basato su immagini chiamato Transparent image moving (Tim) per i telefoni cellulari, con l’obiettivo di ridurre il rischio di attacchi di “shoulder surfing”. Tim richiede agli utenti di selezionare e spostare immagini predefinite in una posizione designata per superare i controlli di autenticazione, simili a quelli richiesti per lo shopping online. Lo studio dimostrativo, condotto dai ricercatori dell’Inghilterra, ha riscontrato che l’85% degli utenti ritiene che possa aiutare a prevenire il guessing delle password e gli attacchi di shoulder surfing”. Lo studio ha inoltre scoperto che il 71% dei partecipanti ritiene che Tim sia una soluzione basata su immagini più utilizzabile rispetto ad altre presenti sul mercato.
“Trascorriamo gran parte della nostra vita sui nostri telefoni cellulari e dipendiamo da essi per attività come la banca, lo shopping e per rimanere in contatto con i nostri cari. Tuttavia, è sorprendente quanto poco sia stato fatto in termini di innovazione e progresso per proteggere queste attività e le nostre informazioni più private. Crediamo che i processi di autenticazione basati su immagini e interattivi come Tim rappresentino un passo nella giusta direzione”, ha detto Rizwan Asghar, coautore del paper per l’Università di Surrey.
Cos’è lo “shoulder surfing”
Lo “shoulder surfing” è un attacco in cui qualcuno registra informazioni sensibili, come ad esempio le password o i numeri di carte di credito, che vengono “rubati” quando l’utente li inserisce sullo schermo di un computer o telefonino. Il ladro infatti sbircia sopra la spalla o da una distanza. Questi attacchi si verificano soprattutto in luoghi pubblici affollati come aeroporti, caffè o mezzi pubblici. “Lo status quo attuale basato su testo offre compromessi tra usabilità e sicurezza – continua Asghar – Mentre le password basate su testo breve sono facili da ricordare, non sono sufficientemente sicure e ti rendono vulnerabile al guessing delle password o agli attacchi di shoulder surfing”. Le password basate su testi lunghi, magari create con un generatore, sono vincenti in termini di sicurezza ma sono incredibilmente difficili per gli utenti da ricordare, e bisognerebbe probabilmente scriverle da qualche parte. “È promettente che molti dei nostri partecipanti abbiano trovato Tim utilizzabile e non hanno trovato la curva di apprendimento troppo ripida. Ciò suggerisce che il mercato potrebbe essere pronto per alternative basate su immagini per la sicurezza dei dispositivi mobili”.