Password On Demand di Yahoo, pro e contro

Marco Valerio Principato
Di
Pubblicato il: 18/03/2015
Commenti Commenta | Permalink

Non è autenticazione a due fattori, ma vera e propria sostituzione del meccanismo di autenticazione fondato sulla sola password. Idee e riflessioni.

Alcuni giorni fa, in occasione del South by Southwest Festival (SXSW), Yahoo ha annunciato la disponibilità di un nuovo sistema di autenticazione grazie al quale gli utenti verranno riconosciuti con una password generata casualmente sul punto e inviata loro, per un singolo utilizzo, tramite un messaggio SMS.

Per sfruttare la nuova prestazione è sufficiente “recarsi” sulle impostazioni di sicurezza del proprio account Yahoo e cliccare sullo slider “On-demand password” per attivarla.

Verrà chiesto il numero di cellulare dell’utente e il sistema di Yahoo provvederà ad inviare un codice di autenticazione per legittimare l’operazione, codice che dovrà essere digitato sul sito a conferma della ricezione.

Dal successivo login il campo password sarà sostituito da un pulsante con scritto “Inviami la password”, che una volta cliccato farà inviare sul cellulare un SMS con un codice di quattro caratteri da usarsi per l’autenticazione.

La funzione per ora è in sperimentazione sul mercato statunitense, ma è prevedibile venga presto estesa al resto del mondo. Non è ancora stato stabilito, tuttavia, se sia o meno stato pianificato un metodo alternativo, da usarsi ad esempio in caso di congestioni alle reti cellulari che ritardino la consegna del messaggio SMS, oppure di indisponibilità del proprio cellulare da parte dell’utente per qualsiasi ragione, oppure di cancellazione dei cookie.

I dirigenti di Yahoo sono convinti di aver compiuto un passo concreto nel “mettersi nei panni dell’utente”, oggi costretto – in effetti – a ricordare molte credenziali di accesso per i diversi servizi.

Tuttavia non è tutto oro quel che luce. Innanzi tutto questo sistema non va confuso con l’autenticazione a due livelli (la rendono già disponibile, ad esempio, Twitter e Google, per chi lo desidera), che consiste nell’impiegare sia la tradizionale password sia un codice inviato via SMS ed entrambi sono necessari per procedere all’autenticazione.

L’autenticazione a due fattori certamente introduce un ulteriore “filtro” ma, come certe circostanze hanno dimostrato, può indurre un subdolo ed eccessivo senso di sicurezza capace di portare a compiere leggerezze.

Il sistema di Yahoo, rispetto all’autenticazione a due fattori, ha lo svantaggio di non portare maggiore protezione con una ulteriore autenticazione, ma ha il vantaggio di non costringere l’utente a ricordare alcuna password e di essere “monouso”.

Entrambi hanno lo “svantaggio”, per così dire, di invadere un’altra fetta dell’ormai bistrattata e schiaffeggiata privacy: dovendo rivelare il proprio numero di cellulare, consentono al servizio di completare la schedatura del proprio utente con un dato importantissimo, unico e – in linea generale – verificato ed autenticato (alla verifica dell’identità personale ci ha pensato, in linea di massima, l’operatore cellulare).

Lo si potrebbe, dunque, definire un passo importante, anche abbastanza intelligente, ma non sembra essere tale da poterlo considerare “una svolta” vera e propria. Inoltre, occorrerà chiarire bene come l’utente può comportarsi in casi di indisponibilità di impiego del cellulare, ovvero di mancato riconoscimento, da parte del portale, dell’utente da autenticare secondo la nuova modalità anziché quella tradizionale.


Marco Valerio Principato (2072 articoli)

Informatico sin dal 1980, esperto di Internet ed elettronica e attivo in Rete dal 1999, ha curato articoli in diverse pubblicazioni specifiche tra cui Punto Informatico (direzione P. De Andreis) e CompuServe Magazine. Laureato con lode in Scienze della Comunicazione, è responsabile di questo sito.


Abbiamo parlato di:
, ,

Commenti (Facebook)
Commenti (locali)




Nota: La moderazione in uso potrebbe ritardare la pubblicazione del commento. Non è necessario reinviarlo.