Security
Internet è un po' come il nostro mondo reale: ci sono luoghi (reti sociali) dove le persone si incontrano e si scambiano idee, ci sono grandi magazzini (ad esempio Siroop) e filiali bancarie (come PostFinance eFinance) e tutti si muovono in questo mondo digitale praticamente ogni giorno.
Tuttavia, proprio come nel mondo reale, le divisioni riservate sono importanti anche nelle loro Pendent digitali. Proprio come chiudiamo la porta di casa quando non siamo in casa, blocchiamo anche gli altri utenti dai nostri account privati per proteggerli da occhi curiosi e, soprattutto, da abuso o furto. La chiave che usiamo per proteggere quasi tutto nel mondo digitale è anche la peggiore che si possa scegliere: una concatenazione di più di 10, ma di solito solo 6-8 caratteri alfanumerici - la password. Chiunque la conosca, la indovini o ne entri in possesso ha accessibilità alle divisioni più sensibili della nostra vita: le foto nostre e dei nostri figli, il nostro indirizzo e il numero della carta di credito, il nostro conto in banca e molto altro ancora. Ci siamo affidati alla presunta protezione delle password per molto tempo, in realtà da quando esistono i computer e le reti elettroniche, ma questa protezione è un'illusione. E il pericolo è in aumento.
Le password non sono mai state così sicure. Tuttavia, con innumerevoli phishing, strumenti sempre più semplici e di facile accessibilità per decifrare le password e un gran numero di "password leak" esistenti, il rischio di diventare vittima di un hacking è in aumento. Come se non bastasse, sempre più identità digitali vengono memorizzate nel cloud e gli account sono spesso collegati tra loro. Questo non solo aumenta la probabilità, ma aggrava anche le conseguenze e gli effetti di un hack.
Spostare tutti i nostri dati su dischi rigidi privati e cancellare i nostri account è davvero l'unico modo per proteggerci efficacemente? Sì, ma non è una risoluzione molto pratica e del tutto irrealistica. Per questo motivo, noti portali e operatori cloud come Facebook, Apple e WhatsApp, oltre a Swisscom, si affidano all'autenticazione a due fattori (2FA), che utilizza un ulteriore livello di sicurezza.
Come suggerisce il nome, l'autenticazione a due fattori richiede due fattori su un totale di tre possibili per il successo del login.
I tre possibili fattori permessi sono:
Ciò significa che non solo la password (conoscenza) è necessaria per effettuare un login con successo, ma devi anche essere in possesso di un cellulare, ad esempio, sul quale devi confermare un tentativo di login o eventualmente trasmettere un PIN unico inviato via SMS al web browser. Quindi qualcuno non solo dovrebbe conoscere la mia password, ma anche rubare il mio cellulare allo stesso tempo. Questa semplice misura aumenta enormemente la protezione dei nostri dati senza perdere molto in termini di comodità.
Qualche anno fa Swisscom ha sviluppato Mobile ID a questo scopo, che da allora è diventato un modello svizzero di successo. Mobile ID è stato progettato come funzione di sicurezza per le schede SIM ed è ora disponibile presso la maggior parte dei fornitori di telecomunicazioni svizzeri, il che significa che la maggior parte della popolazione svizzera può utilizzare un'autenticazione a due fattori sicura tramite telefono e PIN su portali online come PostFinance. A rigore, il login di PostFinance è anche un'autenticazione a più fattori particolarmente sicura. Il cliente dell'eBanking deve avere a portata di mano non solo i propri dati di login personali, ma anche il proprio cellulare e il PIN del Mobile ID. In questo modo si previene efficacemente l'abuso. E poiché purtroppo una maggiore sicurezza va troppo spesso a scapito della comodità, Mobile ID non si basa su password uniche da trasmettere al web browser, ma su un PIN di sei cifre che solo l'utente conosce. Durante il processo di registrazione, all'utente viene chiesto sul cellulare se vuole effettuare il login. Dopo aver confermato, inserisce il PIN a sei cifre sul cellulare. Il server web, collegato al backend di Mobile ID, registra il tentativo di accesso e l'autenticazione valida e autorizza l'utente entro pochi secondi. L'utente può quindi accedere a qualsiasi pagina web indipendente con lo stesso PIN, compreso il portale clienti di Swisscom.
L'introduzione con copertura capillare di opzioni di autenticazione sicura sul web offre condizioni ottimali per i modelli commerciali e di gestione digitale. Questi richiedono un'identificazione univoca per le necessarie dichiarazioni d'intenti legalmente vincolanti, per cui l'autenticazione è solo il primo ma importantissimo passo. In questo contesto entrano in gioco anche la firma digitale per le autorizzazioni legalmente vincolanti e l'identità digitale, nota anche come eID. Questi ultimi due argomenti sono attualmente molto dibattuti in Svizzera e rivestono un'enorme importanza per lo Stato e la società. Per questo motivo vorrei dedicare a questi punti un articolo del blog a parte nel prossimo futuro.
Senior Product Manager
Trova il lavoro o il mondo della carriera che fa per te. In cui vuoi contribuire a plasmare e sviluppare te stesso.
Ciò che ne fai è ciò che ci definisce.
