logo-mini
Shock Microsoft: stop alle password OF OSSERVATORIO FINANZIARIO

SOMMARIO

Il progetto aperto a tutti lanciato nel 2006 da Bill Gates è pronto: dovrebbe dare un colpo letale al cyber crime, tutelare la privacy e rendere più semplice la vita a milioni di persone soffocate dalle parole chiave. I primi progetti-pilota in Germania. Intervista esclusiva a Feliciano Intini, Responsabile dei programmi di Sicurezza e Privacy di Microsoft Italia

Shock Microsoft: stop alle password

La fragilità di Internet si chiama password. Si stima che ciascun utente debba gestire in media dalle 20 alle 30 password per accedere ai diversi servizi online, dall'home banking allo shopping online, dal Pin della carta di credito a quello della rete aziendale, fino ad arrivare alle diverse comunità come facebook o twitter e, ovviamente, alle email. Tante password che, nel caso di sistemi che richiedono maggiore sicurezza come la gestione del denaro, si moltiplicano a dismisura: una seconda password dispositiva, a cui si aggiunge la password usa e getta (OTP One Time Password) con token o via sms, eccetera. La proliferazione della parole chiave sta creando numerosi problemi dove la sicurezza è minata da un problema sociale: la gente si dimentica la password e quindi la tiene scritta su foglietti volanti, appiccicati al computer, nel portafoglio, magari in una agenda che tutti possono leggere e così via. Se si memorizza sul computer diventa preda degli hacker grazie a software maligni o virus. Senza dimenticare il phishing con false email che invitano a digitarla in falsi siti permettendo ai cyber ladri di rubare i risparmi sul conto corrente. Cosa accadrà nel momento in cui tutta la nostra vita girerà attorno al web e ai suoi servizi attraverso un telefonino diventato strumento intelligente e completo dove l'uso della password è ancora più problematico (schermo più piccolo, tastiera più difficile da usare)? Ecco perché Microsoft sta lavorando da alcuni anni, l'annuncio è avvenuto nel 2006, per eliminare la password dall'orizzonte futuro. Un futuro senza parole chiave. Ma che cosa si userà al suo posto? Come si potrà difendere la nostra sicurezza e nel contempo la nostra privacy dalle organizzazioni criminali che nel web hanno trovato un nuovo eldorado? A queste domande ha risposto in esclusiva per Le News di Of Feliciano Intini Responsabile dei programmi di Sicurezza e Privacy di Microsoft Italia.

Of: Nel prossimo futuro potrò accedere al mio conto corrente online senza digitare identificativo e password?
Intini: Proprio così. Basterà usare una InfoCard, una vera e propria identità digitale software che contiene tutte le informazioni per ottenere l’accesso e l’autorizzazione ai servizi che ce le richiedono, magari in congiunzione con le attuali Smart Card già in nostro possesso fornite di chip.

Of: Mi scusi, ma non mi sembra una novità: si parla da anni di firma digitale e già oggi ci sono le Smart Card messe a disposizione da alcune banche anche alla clientela privata oltre che alle imprese. Temo anzi che invece di aumentare il numero delle password si moltiplicheranno le card e saremo punto a capo no?
Intini: Io parlo di qualcosa che sta logicamente al di sopra delle Smart Card per firma digitale. Parlo di una tecnologia software per scambiare su Internet, in modo sicuro e privato, i dati relativi alla nostre identità digitali tramite un metasistema delle identità aperto in inglese, Identity Metasystem.

Of: Mi spieghi meglio: cos'è un metasistema?
Intini: Come lei rilevava, di sistemi di identificazione con Smart Card ce ne sono diversi. Guardi qui la mia nuova carta d'identità digitale del Comune di Milano (mi mostra la sua carta d'identità con chip) e poi c'è quella della Regione Lombardia, quella della banca eccetera eccetera. Dato che è improbabile che venga adottato un unico sistema o tecnologia delle identità digitali, per trovare una soluzione di identità universalmente adottata in Internet è necessario un approccio diverso. Questo approccio, l'approccio di Microsoft, si propone di elaborare un’architettura che permetta di connettere sistemi delle identità esistenti e futuri in un "sistema di sistemi" delle identità, un metasistema - Identity Metasystem - appunto. Tale metasistema sfrutta i punti di forza dei sistemi delle identità che lo costituiscono, assicura l'interoperabilità tra di essi e consente di creare un'interfaccia utente semplice e coerente.

Of: Ad esempio?
Intini: Nella vita reale vengono utilizzati varie forme di identificazione, ad esempio patente o carta d'identità rilasciata da un ente governativo, carte di credito, tessere aeree per viaggiatori frequenti e altro ancora. Allo stesso modo in cui, nella vita reale, scegliamo la carta di credito dal nostro portafoglio quando desideriamo farci identificare da un servizio oppure operare un pagamento, questa tecnologia prevede la presenza sul nostro PC di un componente che consente di selezionare tra diverse identità digitali personali e di utilizzarle per i servizi Internet che accettino tali identità.

Of: Alt, mi sono persa. Vuol dire che io ho tante identità sparse tra i vari enti con tante card con relativi Pin e quindi un numero incredibile di password. E Microsoft, con questo "sistema di sistemi" invece mi dà una chiave sola per accedere a tutte queste identità, che poi sono la mia? Una sola chiave per tutte?
---- Of: Alt, mi sono persa. Vuol dire che io ho tante identità sparse tra i vari enti con tante card con relativi Pin e quindi un numero incredibile di password. E Microsoft, con questo "sistema di sistemi" invece mi dà una chiave sola per accedere a tutte queste identità, che poi sono la mia? Una sola chiave per tutte?
Intini: Per essere precisi, la robustezza di questo meccanismo permette diversi scenari possibili, a seconda del livello di sicurezza richiesto: nei casi in cui non serva un elevato livello di sicurezza, ad esempio l’accesso ad un sito di social networking, si può fare a meno della Smart Card, per un normale livello di sicurezza si può usare la Smart Card come prova del possesso della nostra identità digitale, ma si può tralasciare la necessità di inserire un Pin, oppure, di fronte ad una transazione che si vuole super-sicura si può richiedere l’uso obbligatorio del Pin. In questo modo si ridurrà drasticamente l’uso delle password/Pin alle sole situazioni super-sicure, come le autorizzazioni dispositive.

Of: Vuol dire che non necessariamente queste InfoCard saranno memorizzate su una card, magari le posso mettere in una sim card del cellulare o su un altro strumento che piace a me ad esempio una memoria Usb magari a forma di gioiello od orologio?
Intini: Esattamente, l’obiettivo è che possano essere fruibili da qualsiasi dispositivo e portabili in termini di mobilità. Ma non è solo questo ovviamente. C'è anche un discorso molto importante legato alla identità digitale nel suo contesto d’uso e nella tutela della privacy.

Of: Mi può fare qualche sempio?
Intini: Se ad esempio si va in una biblioteca per chiedere un libro a prestito richiedono la carta d'identità che poi fotocopiano con il rischio di lasciare in giro la sua identità alla mercè di chiunque. Con le InfoCard lei gestisce le sue informazioni digitali all’occorrenza: in questo caso, ad esempio, può dare solo quelle che servono alla biblioteca senza lasciare tracce, come le fotocopie, e soprattutto senza dover rivelare tutto di sè. Facciamo un altro caso: vado ad acquistare una bevanda alcolica e il negoziante mi chiede la carta d'identità per verificare se sono maggiorenne. Con questa nuova tecnologia, denominata U-Prove e resa disponibile da pochissimo, invece, io posso rivelare solo quella informazione minima strettamente necessaria, cioè "sono maggiorenne", senza dover rivelare altri dati inutili allo scopo, come la mia esatta data di nascita, l'indirizzo eccetera.

Of: Una divulgazione minima o limitata controllata in tutto e per tutto da me, dunque. Sarebbe splendido davvero, se penso che per ricevere a casa il mio nuovo cellulare ho dovuto consegnare la mia carta d'identità in fotocopia a un pony che mi ha consegnato il pacchetto. Di fatto con questa tecnologia sono io a gestire esattamente quali e quante informazione inviare senza tra l'altro doverle ogni volta duplicare...
Intini: Esatto. In pratica l'identità, pensata come insieme di attributi - nome, cognome, data di nascita, email, eccetera - ha tante connessioni tecnologiche, alla banca dati e ai sistemi del Comune piuttosto che dell'Ospedale, dell'Università o della Banca, che le memorizzano nelle loro banche dati a seconda della specifica autorità: l’attributo “cittadinanza” è in carico all’anagrafe, “numero di conto corrente” in carico alla Banca, e così via. Ma il componente di distribuzione delle informazioni è unico ed è nel pieno controllo dell’utente, cioè il proprietario delle informazioni, che in questo modo si riappropria della sua identità e la gestisce come meglio desidera.

Of: Ho paura però che si ricada nel problema del phishing o in generale delle truffe: se il gestore è l'uomo può addirittura consegnare più informazioni del dovuto a enti non certificati, ad esempio dare informazioni sul suo conto a un negozio in rete. Come può gestire al meglio tutta questa montagna di dati senza caderne vittima?
Intini: Il problema c'è. Per proteggere l'intero sistema bisogna riuscire a presentare un'interfaccia utente di facile apprendimento e prevedibile, che venga visualizzata e funzioni in modo indipendente dalle tecnologie di identità sottostanti. Mi spiego meglio: vuol dire che per entrare nel servizio della mia biblioteca o nel mio conto online dovrò avere la stessa schermata sul mio computer o sul mio cellulare, sempre consistente a prescindere dal sito visitato. E’ compito della tecnologia provvedere, in modo trasparente per l’utente, a certificare i siti che richiamo, quello della biblioteca piuttosto che quello della mia banca, evitando i problemi dello spoofing, dei falsi siti o delle false home page.

Of: E tutto questo lo sta sviluppando Microsoft?
---- Of: E tutto questo lo sta sviluppando Microsoft?
Intini: Non da sola, ovviamente. La tecnologia del metasistema di identità si basa su un insieme di specifiche aperte di un nuovo insieme di protocolli Web (WS-*) che sono pubblicate e rese disponibili gratuitamente oltre ad essere sottoposte all'approvazione di enti di standardizzazione. Ciò consente di sviluppare le varie applicazioni sotto forma di licenza gratuita, priva cioé di royalty, il che fa crescere velocemente l’adozione ampia del modello a livello internazionale, nella direzione disegnata dalla nostra vision che noi chiamiamo End to End Trust.

Of: Provi a disegnarla per i nostri lettori.
Intini: Al centro di questo scenario c'è CardSpace, il componente deputato alla selezione delle diverse identità digitali, le InfoCard, cioè l'insieme di informazioni che costituiscono la mia identità digitale, un insieme che cresce con il crescere dei miei rapporti con enti e istituzioni. Ogni ente che agisce da Identity Provider può rilasciarmi una InfoCard: ad esempio ne ricevo una dall’Università se mi iscrivo a un corso universitario, e potrà contenere le relative informazioni (i corsi seguiti, gli esami sostenuti); quella sanitaria, rilasciata ad esempio dalla Regione di appartenenza, sarà in grado di veicolare informazioni relative alla mia salute. Dal punto di vista informatico InfoCard è uno standard lato client. Quando un sito ci chiede un insieme preciso di informazioni CardSpace è in grado di selezionare automaticamente le InfoCard che possono soddisfare tale richiesta.

Of: A questo punto cosa succede?
Intini: A questo punto la nostra scelta tra le diverse possibilità, e la relativa conferma, permetterà al PC di chiedere il passaggio definitivo dei dati richiesti, direttamente dal fornitore di Identità selezionato al sito richiedente, in modo sicuro e prova di compromissione: ad esempio il provider di carte di credito che possono rilasciare identità che abilitano a pagamenti, piuttosto che aziende che rilasciano identità ai propri clienti o dipendenti, Governi che rilasciano identità per votare, iscriversi a scuola, eccetera. E' bene ribadire che come ultimo passaggio è sempre la persona a confermare l’insieme dei dati che si sta passando al sito richiedente, dopo averli visualizzati in modo chiaro all’interno della finestra offerta da CardSpace: è la persona a tutelare la propria privacy.

Of: E quando avremo tutti noi a disposizione questo nuovo metasistema?
Intini: Già oggi. Essendo basato su standard aperti, ogni piattaforma può sviluppare da subito la sua versione che sia in grado di interagire con questa architettura del metasistema di identità. Microsoft sta già adeguando la sua piattaforma tecnologica con questo nuovo modello di gestione delle identità, in modo che sia integrato in tutti i suoi nuovi prodotti.

Of: Chi paga questa nuova tecnologia e soprattutto quanto costa all'utente finale?
Intini: Il costo consiste nell’adattamento delle applicazioni web all’uso di questi protocolli di comunicazione dei fornitori di servizi, come Banche, Università, ospedali, siti di shopping eccetera e di provider di identità come Stato, Regione, Comune eccetera. L'utente non paga nulla.

Of: Vuol dire che se mettiamo la mia banca decide di mettere a disposizione dei suoi clienti un InfoCard con la protezione dell'identità U-Prove deve acquistare tecnologia Microsoft e allo stesso tempo lo stesso devono fare tutti gli altri fornitori di servizi?
Intini: Assolutamente no. O meglio: Microsoft è già in grado di fornire tutta la tecnologia e i tool necessari per adattare o sviluppare ex-novo sistemi e applicazioni compatibili con l’Identity Metasystem, così come CardSpace cioé il selettore delle InfoCard sul PC dell’utente è già incluso in Windows 7. Ma la sua Banca, nell’esempio che ha fatto, può decidere di usare le altre tecnologie che già usa, dal momento che i protocolli in questione sono basati su standard aperti e implementabili su più piattaforme.

Of: C'è già qualche applicazione in Europa?
Intini: Microsoft ha stilato una partnership cone il Fraunhofer Institute for Open Communication Systems di Berlin per la creazione di un progetto e un prototipo che integra U-Prove e la identity platform di Microsoft, per l'uso delle future carte di identità elettroniche del Governo tedesco.

Of: Tutto questo, però, non mi lascia lo stesso tranquilla: se io uso questo insieme di identità su un computer non protetto cadrò addirittura dalla padella alla brace. Chi mi assicura che qualcuno non mi spii e riesca a sapere tutto di me?
Intini: Da un lato il componente CardSpace è isolato dal resto del sistema e quindi protetto rispetto alle diverse possibilità di intrusione da parte di eventuali virus/trojan o software spia, dall’altro, come ripeto sempre anche nel mio blog, non bisogna illudersi che ci siano soluzioni inattaccabili, bisogna che chi usa il web si aggiorni costantemente su come si evolvono le minacce per mantenere un atteggiamento prudente di fronte ai nuovi rischi e sappia come sia opportuno gestire il proprio PC sempre in piena sicurezza: un po' come per l’auto, serve aver preso la patente e ricordarsi di fare il tagliando per non rimanere a terra. Quanti utenti sanno di dover mantenere costantemente aggiornati e possibilmente alle versioni più recenti, tutto il software che hanno installato sul proprio PC e non solo il sistema operativo? Sin dal 2002, per specifica volontà di Bill Gates con il lancio dell’impegno denominato Trustworthy Computing, Microsoft ha inserito la sicurezza alla base del ciclo di sviluppo di tutti i nostri prodotti, e oggi, con l’ultima versione degli stessi, come Windows 7 e Internet Explorer 8, possiamo dire di avere lo stato dell’arte di questa qualità costruttiva in termini di protezione, naturalmente sempre in costante evoluzione per far tesoro delle nuove scoperte e delle nuove minacce.

Of: E lo sarà anche Windows Mobile 7?
Intini: Stiamo attendendo le specifiche, ma non potrà che essere così dal momento che è proprio una parte integrante delle vision già citate di Trustworthy Computing ed End to End Trust di giungere, in un futuro quanto più prossimo possibile, alla fruizione sicura di Internet da qualsiasi tipo di dispositivo, sia esso un PC, uno smartphone, una console di videogiochi o un televisore.

Il Blog di Feliciano Intini si trova a questo indirizzo blogs.technet.com/feliciano_intini/
Il sito End to End Trust di Microsoft www.microsoft.com/mscorp/twc/endtoendtrust/
Webcast di Scott Charney, corporate vice president, Microsoft’s Trustworthy Computing Group alla RSA Conference 2010 media.omediaweb.com/rsa2010/webcast.htm?id=1-3
© Of-Osservatorio finanziario - riproduzione riservata

Leggi Anche:

Banche e Tabacchi

Leggi tutto

Contatti

OF Osservatorio Finanziario

OfNews è una realizzazione di OF Osservatorio Finanziario. Leggi Privacy Policy (formato PDF)

Visita il sito