Rsa: mai più password, mai?

Google ha dichiarato guerra alle password, ma Alisdair Faulkner Chief Products Officer e co-fondatore di ThreatMetrix, pensa che stiano combattendo la guerra sbagliata. "L'idea è lodevole", ha detto Faulkner. "Di fatto, molte persone usano sempre la stessa semplice password. Google propone un autenticatore fisico. Il problema è che qualsiasi tipo di schema a due fattori deve essere adottato sia dai siti che dagli utenti. E se perdi il tuo autenticatore, cosa poi?" Ha anche sottolineato il problema di autenticare un utente durante la registrazione iniziale.

ThreatMetrix propone una soluzione diversa, che non richiede alcuno sforzo da parte dell'utente. "Noi (e molti altri) crediamo che dobbiamo rendere la sicurezza una parte predefinita di ogni operazione", ha affermato Faulkner. "Dovrebbe essere passivo, non invadente. La combinazione dei tuoi comportamenti e dei tuoi dispositivi attraverso molte interazioni può servire a identificarti, e solo tu."

Comportamento deviato

Le banche identificano le transazioni sospette rilevando deviazioni dai modelli normali. ThreatMetrix applica lo stesso tipo di logica all'autenticazione online. Non sanno necessariamente nulla di te personalmente, ma sanno, ad esempio, che un determinato account di posta elettronica si collega normalmente da tre dispositivi particolari, di solito in California. Se quell'account inizia improvvisamente a connettersi più volte contemporaneamente, da dispositivi sconosciuti, forse in Cina, questa è una bandiera rossa.

"Le banche, i siti di e-commerce e alcune delle più grandi aziende tecnologiche utilizzano ThreatMetrix", ha affermato Faulkner. "Osservano i segni di acquisizione dell'account e la frode con carta di credito e la utilizzano per convalidare la nuova iscrizione." Ha sottolineato che la società cerca rigorosamente modelli nei dati, non informazioni personali di nessuno.

Dove tutti conoscono il tuo nome

Per me ha molto senso. Quando giro per la conferenza RSA, le persone che mi conoscono dicono "Ciao!" E le persone che non controllano il mio badge. Se una giovane donna attraente indossasse il mio distintivo, nessuno crederebbe che sono io; il badge non è la mia identità. Non devo inserire una password per accedere alla Sala Stampa; loro sanno chi sono. Il piano ThreatMetrix si estende sapendo chi sei nel cyberspazio.

Ho chiesto a Faulkner, che dire dei falsi positivi? Molti di noi hanno sperimentato il possesso di carte di credito perché abbiamo effettuato un acquisto in un luogo insolito. ThreatMetrix non potrebbe bloccare erroneamente il mio accesso, per esempio un sito bancario? "Forniamo il contesto", ha risposto, "ma non siamo il garante. Il sito può decidere di rifiutare la transazione o sottoporla a ulteriore controllo. A meno che non sia palesemente fraudolenta, probabilmente non lo negherebbero del tutto."

Il settore bancario utilizza già tecniche simili per segnalare transazioni potenzialmente rischiose. Posso vedere totalmente l'estensione di quel modello all'autenticazione del sito Web. Certo, può succedere solo con una partecipazione quasi universale. Se viene raggiunto questo obiettivo elevato, potremmo non dover mai più ricordare una password come 8l3yO5JgtxIC o CorrectHorseBatteryStaple.

Per vedere tutti i post della nostra copertura RSA, controlla la nostra pagina Show Reports.