so many trees

Ci sono così tanti alberi da non riuscire a vedere la foresta

C’è un detto che dice pressapoco “Ci sono così tanti alberi da non riuscire a vedere la foresta”.

Questo è quello che sta succedendo, da 40 anni, a tutti i ricercatori di sicurezza delle più prestigiose università del mondo.

Tutti pensano a come dare la colpa all’utente finale.
L’utente deve avere una password impossibile da ricordare, non la deve scrivere da nessuna parte, la deve cambiare ogni 3 ore (anzi no secondo le più recenti linee guida), e non la deve mai riutilizzare, magari deve avere anche un servizio di #2FA attivo.

Poi provate a spiegare a mia nonna come verificare se la connessione avviene in SSL.

Tutto valido finchè non scopriamo che il 78% di tutte le più recenti fughe di dati non era connesso all’utilizzo di password insicure. E se lo dice Centrify, il cui business comprende la vendita di soluzioni #2FA, c’è da crederci!

Screenshot from 2016-05-16 10:46:50

 

Per me l’innovazione consiste in una soluzione più semplice, sicura e, sopratutto, a prova di errore.

L’autenticazione tramite parola segreta da memorizzare è morta, tutti lo dicono, tutti lo ripetono, ogni giorno.

Il metodo #2FA è stato inventato e brevettato nel 1984 e se la maggioranza delle persone ancora non lo usa ci sarà un motivo.

Semplicemente perchè fa schifo.

1) A nessuno piace essere interrotto decine di volte al giorno
2) A nessuno piace che qualcuno controlli ogni suo login

L’origine di tutti i mali deriva dal fatto che le password sono memorizzate insieme con i dati.

In un periodo in cui ognuno di noi possiede in tasca un device connesso alla rete questo è un assoluto non-sense.

Noi abbiamo un metodo per eliminare le password e le fughe di dati utilizzando gli smartphone degli utenti come storage remoto.

Così invece di usare password, OTP, dati biometrici o qualsiasi altro codice come un indice per recuperare dei dati dal database, questo è quello che avviene oggi, noi abbiamo brevettato un metodo di login inverso.

  • Ogni utente salva i suoi dati nel proprio smartphone.
  • Ogni sito con il pulsante “Login With SingleID” può richiedere un accesso in lettura a questi dati con una semplice domanda SI/NO sul telefono dell’utente.
  • Il nostro server serve solo per far avviare una connessione diretta tra queste parti e quindi nessun dato viene fatto transitare presso di noi.

Questo significa che noi abbiamo un SingleSignOne system senza che i i nostri server possano tracciare gli utenti!

Per gli aspetti tecnici di come tutto ciò sia possibile invito a leggere il white-paper su github

Vi auguro una piacevole esperienza di lettura per questa prima, vera, innovazione nel settore della gestione dell’identità digitale.