Alcuni sforzi, volti alla sostituzione delle password composte tradizionalmente da lettere e numeri, si affidano a movimenti del corpo, a dispositivi indossabili o alla biometria. Un approccio diverso, attualmente in fase di studio da parte dell’azienda di ricerca e sviluppo Sri International e dalla Stanford and Northwestern, mira invece a una soluzione completamente differente: password che conoscete, senza però sapere di conoscerle.
Patrick Lincoln, direttore del laboratorio di scienza informatica della Sri e ricercatore all’interno del progetto, definisce il progetto un «sistema di autenticazione a prova di tubo di gomma», facendo riferimento alla “crittoanalisi tramite tubo di gomma” in cui una persona viene costretto forzatamente a rivelare informazioni come, ad esempio, la password d’accesso a un edificio protetto. Secondo Lincoln, l’approccio farebbe affidamento sull’apprendimento implicito – la sorta di apprendimento che avviene semplicemente ripetendo un’azione, come quando s’impara ad andare in bicicletta, senza poter quindi dare una spiegazione verbale – per prevenire la compromissione di una password.
Per ora, il progetto ha utilizzato l’interfaccia di un gioco, rassomigliando una versione rudimentale di Guitar Hero, attraverso la quale l’utente viene addestrato a seguire uno schema preciso. L’utente preme un comando, corrispondente a una colonna, ogni volta che una pallina tocca il fondo di una di una di queste colonne, ma siccome la sequenza di palline in caduta varia in continuazione, l’utente non è in grado di distinguere consapevolmente la loro sequenza unica da altri segnali “intrusi”. In seguito, l’utente è autenticato facendolo giocare a un gioco che contiene parti degli schemi memorizzati, laddove le capacità sviluppate dall’utente permettono di identificarlo.
Questo costituisce uno di tanti tentativi mirati all’abbandono delle password tradizionali, che possono essere difficili da ricordare e non sicure. Se i ricercatori riusciranno a far funzionare sufficientemente bene questo sistema, potrebbero agevolare l’accesso degli operatori ad aree dalla ’elevata sicurezza, come ad esempio le cabine di pilotaggio degli aerei, oltre a reami più mondani quali i conti bancari.
Gli utenti potrebbero inoltre riuscire ad apprendere più di una password inconscia senza alcuna interferenza, stando a Lincoln – per cui sarebbe possibile avere una password inconscia per l’ufficio ed un’altra per il proprio conto in banca. E qualora una password venisse in qualche modo compromessa, se ne potrebbe apprendere un’altra senza dover cancellare quella precedente.
Le scoperte iniziali dei ricercatori sono state pubblicate lo scorso anno in un documento che include uno studio secondo il quale gli utenti “educati” erano in grado di eseguire lo schema insegnato nel tempo senza però conoscerlo consapevolmente. Il progetto ha ricevuto un premio dalla National Science Foundation che, a detta di Lincoln, sta permettendogli di portare avanti le ricerche. Per ora, l’addestramento richiede tempo (all’incirca 40 minuti per password), e l’accuratezza del sistema necessita di miglioramenti, dato che questo sistema di password non è neppure sicuro quanto le password tradizionali. Il gruppo di Lincoln sta avviando nuovi esperimenti che, si spera, porteranno a password inconsce più efficaci e facili da apprendere.
Nonostante le sfide e l’attuale impratichita di un sistema del genere, David Wagner, un docente di scienza dei computer presso la UC Berkeley che conduce studi sulla sicurezza informatica, nota che esistono esempi di tecnologie di sicurezza che si stanno diffondendo ampiamente nonostante la loro apparente impratichita iniziale, quali ad esempio la crittografia tramite chiave pubblica, che ha avuto inizio negli anni ’70 con l’invenzione dell’algoritmo di codificazione Rsa. «Chiunque può immaginare se questo sistema avrà un futuro o meno», dice, «ma è alquanto suggestivo scoprire che, almeno in teoria, è possibile disporre di una password da poter utilizzare senza esserne consapevoli».
*tratto da Mit Techology Review, pubblicato il 30 giugno 2013