Per mantenere il piu’ alto livello di privacy su internet tra i consigli c’è quello di avere una password diversa per ogni account che si ha, ma questo significa dover tenere a mente tante password diverse se ci si iscrive a tanti servizi online. Per ovviare a questo vengono in aiuto strumenti forniti direttamente dai browser web, che consentono ormai tutti di salvare la password al primo accesso in un sito web in cui si è registrati per non doverla reinserire nuovamente in un secondo momento. Presto, tuttavia, anche Facebook fornirà uno strumento di gestione password, stando a quanto anticipato dal Wall Street Journal.
Il problema di avere la stessa password per diversi account è che se i server di un sito a cui si è iscritti viene violato da hacker, allora la password usata per accedere a quel sito diventa obsoleta, con gli hacker potrebbero riciclare attraverso altri siti la password per compromettere altri account a cui l’utente è iscritto. Questo problema non sarebbe un ‘problema’ se tutti i servizi fornissero la verifica a due fattori, il sistema che prevede l’invio di un codice univoco via SMS ad un numero di telefono prestabilito dall’utente ogni volta che si prova ad accedere all’account – in questo modo anche se gli hacker sono in possesso della password di un account non possono accedervi senza quel codice di verifica. Ma Facebook ritiene che anche questo sistema a due fattori abbia dei problemi che devono essere superati.
L’ingegnere della sicurezza di Facebook Brad Hill ha annunciato alla conferenza USENIX Enigma che la sua azienda sta lanciando una funzione per il recupero di password di altri siti web chiamato Delegated Recovery. Lo strumento consentirà agli utenti di impostare dei token di ripristino crittografati per alcuni siti, cosi’ se l’utente dimentica la password potrà utilizzare lo strumento per inviare il token memorizzato nel suo profilo Facebook al sito a cui vuole accedere, dimostrando la sua identità e sbloccando il suo profilo. La sicurezza viene garantita tramite la crittografia del token, con Facebook che non è in grado di leggere le informazioni memorizzate nel token e quindi non ha in alcun modo possibilità di condividere informazioni con terze parti.
"Non importa che tipo di sito si tratti, hai a che fare con il problema che qualcuno perderà la propria password", ha detto Hill a TechCrunch, sottolineando che esistono alcuni ‘difetti‘ con l’autenticazione a due fattori via SMS e il reset delle password tramite messaggi di posta elettronica. "Siamo in grado di farli [gli utenti] accedere di nuovo al loro account, anche se dimenticano il telefono da un’altra parte."
Il tool Delegated Recovery oltre che ad aumentare il livello di sicurezza delle informazioni degli utenti sembra voler essere anche un modo per Facebook per convincere gli utenti ad utilizzare il social network per gestire la loro identità online per tutti i servizi che utilizzano via web.
Riguardo il recupero delle password tramite mail, questo servizio viene utilizzato quando si cerca di accedere ad un account ma non si ricorda la password, e si chiede quindi al sito di inviare tramite mail un indirizzo tramite il quale reimpostare la password creandone una nuova. Per Hill, il recupero delle password tramite mail non è un sistema privo di problemi: "Ci sono un sacco di motivi tecnici per cui le email di recupero non sono così sicure. La sicurezza della posta elettronica non ha la più grande reputazione in questo momento. E’ al centro di tutto quello che fai online". Infatti, se un hacker viola l’indirizzo mail di un utente, potrebbe andare a reimpostare le password di tutti i siti a cui è iscritta la vittima con quell’indirizzo mail per avere accesso ai suoi profili.
Ancora non sappiamo quando Facebook lancerà il nuovo strumento, ma se gia’ si è iniziato a parlarne probabilmente la società è nelle fasi finali del test che precederà il debutto.
