Trasformare qualsiasi smartphone in una chiave di autenticazione unica, sicura e user friendly: è possibile grazie alla tecnologia della start up italiana ToothPic, focalizzata sulla sicurezza informatica per l’autenticazione.
Il software dell’azienda ha ottenuto la certificazione FIDO, rilasciata da FIDO Alliance (Fast IDentity Online), l’associazione industriale senza scopo di lucro che promuove standard di autenticazione diversi dalla classica password a favore di moderne soluzioni di autenticazione. Obiettivo è rendere più immediato e sicuro il riconoscimento dell’utente in operazioni sensibili come accesso ai dati privati, acquisti, protezione e crittografia. La certificazione FIDO rappresenta il nuovo standard di sicurezza, promosso in tutto il mondo da aziende come Facebook, Amazon e Google, che consente di accedere a tutti gli account online in completa sicurezza, affidandosi all’autenticazione a due fattori e superando i limiti di una normale password.
“La certificazione FIDO riconosce che la soluzione di autenticazione proposta da ToothPic non solo è conforme e interoperabile con gli standard di mercato in materia di sicurezza, ma può essere utilizzata dagli utenti in modo semplice e sicuro senza ricorrere a password combinate” ha spiegato Giulio Coluccia, amministratore delegato di ToothPic.
Chi è ToothPic e come lavora la sua tecnologia
Incubata presso l’I3P, Incubatore di Imprese Innovative del Politecnico di Torino, e fondata da 4 ricercatori e professori del Dipartimento di Elettronica e Telecomunicazioni del Politecnico di Torino inventori dei 4 brevetti alla base dei prodotti offerti dalla startup, ToothPic ha sviluppato una tecnologia MFA (Multifactor Authentication) che permette allo smartphone di diventare una chiave di accesso unica per l’autenticazione online, eliminando così la necessità di ulteriori password, strumenti o device esterni.
Ogni fotocamera di uno smartphone infatti lascia una sua firma nascosta e involontaria, una sorta di pattern invisibile di imperfezioni che caratterizza univocamente il sensore fotografico. La tecnologia di Toothpic permette di identificare questi difetti della fotocamera e di trasformarli in una vera e propria impronta digitale unica. Si tratta di una caratteristica che non può essere controllata dal produttore e, essendo legata alle proprietà fisiche imprevedibili del wafer di silicio del sensore, è praticamente impossibile produrre due smartphone con la stessa impronta digitale della fotocamera: di fatto, non può essere clonata.
Come funziona? Quando si accede tramite smartphone a un account (per esempio quello bancario) o si finalizzano pagamenti, il sistema grazie a ToothPic acquisisce del tutto automaticamente delle immagini con la fotocamera e ne verifica l’impronta del sensore, che viene a sua volta utilizzata per ricavare una chiave crittografica privata. In questo modo viene verificato il reale possesso dello smartphone da parte dell’utente e si procede velocemente al login o al pagamento. In più i dati segreti che identificano l’utente non sono mai memorizzati sullo smartphone.
“In un mondo sempre più digitalizzato – ha continuato Coluccia – in cui il lavoro da remoto sta diventando una modalità importante per le aziende o in cui l’utilizzo dell’ecommerce e dei nuovi sistemi di pagamento digitale sono diventate soluzioni all’ordine del giorno, la cybersecurity diventa un elemento chiave. Servizi e attività online devono essere in grado di proteggere la privacy degli utenti, ma metodi di sicurezza obsoleti possono accrescere la vulnerabilità dei sistemi. La soluzione ToothPic, in grado di coniugare semplicità e affidabilità, è pronta per essere messa a disposizione di istituti di credito, banche, service provider etc per offrire ai clienti un sistema di sicurezza affidabile e facile da utilizzare”.
La soluzione ToothPic permette quindi di superare il dualismo tra sicurezza e usabilità, tipico dei sistemi di autenticazione odierni.
Un sistema a doppia chiave che però non richiede apparecchiature sofisticate o dispositivi addizionali, promettendo sicurezza e semplicità: non modifica le abitudini dell’utente, tutta la procedura è completamente automatica e non impone nuovi strumenti, device da portare con sé o ulteriori investimenti in hardware da parte delle società che la implementeranno.
ToothPic ha quindi sviluppato un SDK (Software Development Kit) per Android e iOS, compatibile coi più recenti protocolli e standard di autenticazione, da integrare in applicazioni e sistemi di autenticazione di terze parti per identificare il dispositivo tramite (de)offuscamento di chiavi crittografiche asimmetriche. Le credenziali dei singoli utenti non sono memorizzate in maniera centralizzata sui server aziendali, ma sono decentralizzate sui dispositivi degli utenti, rendendo il sistema meno vulnerabile ad attacchi esterni e rendendo più agevole, per le aziende clienti, la migrazione da un modello on premises a un modello in cloud.
Il sistema è conforme ai più recenti standard e requisiti normativi dell’UE: PSD2, FIDO2, FIDO U2F e WebAuthn.