Mnemonick: mettiamo le password al sicuro

La gestione dei propri dati personali, nella forma di account e password, sta assumendo sempre più importanza e delicatezza. I dati gestiti dal pc anche in ambito domestico vanno ben oltre i documenti personali, spesso interessando anche sistemi di transazione online con accesso alla propria carta di credito o al conto corrente bancario.

Gli esperti di sicurezza consigliano inoltre di utilizzare diverse e "complicate" password, evitando nomi di persona, inserendo oltre a caratteri anche numeri; altro utile consiglio prevede un aggiornamento a intervalli regolari dei propri dati di accesso, evitando di ripetere la stessa password per un periodo di tempo troppo lungo.

Tutte queste premesse hanno dirette e pesanti conseguenze sull'utente che deve fare un considerevole sforzo mnemonico per accedere ai differenti servizi. In alternativa si possono utilizzare le opzioni di autocompilazione offerte dai browser e da Windows, ma il livello di sicurezza in questi casi è destinato a decadere in maniera significativa: chiunque accede al sistema può utilizzare i dati dell'utente per le varie autenticazioni.

Mnemonick è un prodotto che vuole aiutare l'utente proprio negli aspetti legati alla conservazione dei dati di accesso. Come vedremo nel corso dell'articolo, nello sviluppo del prodotto si è cercato di realizzare un software nel complesso semplice da usare; questo però non significa che le tecnologie di base siano altrettanto elementari.
La protezione avviene fondamentalmente con 2 fattori: token usb e PIN da digitare a cura dell'utente; a questi due elementi si deve aggiungere la sicurezza di utilizzare un certificato digitale.

Tecnologie usate da Mnemonick

Per la protezione dei dati di accesso Mnemonick utilizza la crittografia asimmetrica ed i certificati digitali: questi due termini conducono immediatamente alle tecnologie PKI (public Key Infrastructure) che implementano un sistema crittografico utilizzando chiave pubblica e certificati digitali.

La crittografia asimmetrica si basa sull'utilizzo di due chiavi: una pubblica ed una privata. Quest'ultima viene utilizzata per cifrare il messaggio, mentre per la fase di decodifica si farà uso della chiave pubblica. Lo schema seguente esemplifica il funzionamento:

Risulta evidente che la chiave privata dovrà essere tenuta al sicuro dal mittente, mentre il destinatario dovrà avere a disposizione la chiave pubblica; in caso contrario verranno meno i presupposti di sicurezza e il messaggio non potrà essere decifrato correttamente.

Avendo ben chiaro il concetto e l'utilizzo delle 2 chiavi resta da risolvere il problema legato alla distribuzione della chiave pubblica; per questa fase si fa ricorso ai certificati digitali che vengono emessi da Autorità di Certicazione ben note e definite.

L'utente che vuole utilizzare i certificati digitali dovrà chiedere alle suddette autorità la generazione della coppia di chiavi (pubblica e privata), previa fornitura dei propri dati personali: il certificato digitale conterrà la chiave pubblica e le informazioni necessarie a identificare in modo univoco l'utente.
Questa operazione viene fatta all'atto dell'attivazione di Mnemonick attraverso il sito Mnemonick.it
La chiave privata fornita dall'Autorità verrà invece custodita sul pc locale.

Questa breve descrizione teorica descrive le tecnologie utilizzate per conservare in modo sicuro, quindi non solo per "ricordare", le password dell'utente sulla chiave USB fornita.

Abbiamo presentato le caratteristiche fondamentali di Mnemonick e le tecnologie di sicurezza alla base del prodotto; occupiamoci ora di descrivere come funziona in concreto e come promette di semplificare la vita degli utenti.