Il team ha sviluppato una tecnologia che è in grado di riconoscere ogni smartphone grazie all'”impronta digitale” data dalla fotocamera
Sapete che ogni smartphone ha una sua propria “impronta digitale”? Sono i micro difetti dati dalle fotocamere a rendere unici i nostri telefonini e quindi a permettere di distinguerli.
Sfruttando questa caratteristica il team di Toothpic ha sviluppato una tecnologia MFA (Multifactor Authentication) unica al mondo che permette allo smartphone di diventare una chiave di accesso unica per l’autenticazione online, eliminando così la necessità di ulteriori password, strumenti o device esterni.
La certificazione FIDO
La startup innovativa italiana focalizzata sulla sicurezza informatica per l’autenticazione, ha annunciato in questi giorni di aver ottenuto la certificazione FIDO per il proprio software che permette di trasformare qualsiasi smartphone in una chiave di autenticazione unica e sicura e user friendly.
La certificazione FIDO rappresenta il nuovo standard di sicurezza – promosso in tutto il mondo da aziende come Facebook, Amazon e Google – che consente di accedere a tutti gli account online in completa sicurezza, affidandosi all’autenticazione a due fattori e superando i limiti di una normale password.
La certificazione è stata rilasciata da FIDO Alliance (Fast IDentity Online), l’associazione industriale senza scopo di lucro che promuove standard di autenticazione diversi dalla classica password a favore di soluzioni di autenticazione alternative. Obiettivo è rendere più immediato e sicuro il riconoscimento dell’utente in operazioni sensibili come accesso ai dati privati, acquisti, protezione e crittografia.
Leggi anche: Round da 300K per ToothPic
4 brevetti per una tecnologia che sostituisce la password
Incubata presso l’I3P, e fondata da 4 ricercatori e professori del Dipartimento di Elettronica e Telecomunicazioni del Politecnico di Torino inventori dei 4 brevetti, ToothPic ha sviluppato una tecnologia MFA (Multifactor Authentication) davvero interessante.
L’idea nasce appunto dalla constatazione che la fotocamera di uno smartphone lascia una sua firma nascosta e involontaria, una sorta di pattern invisibile di imperfezioni che caratterizza univocamente il sensore fotografico. La tecnologia di Toothpic permette di identificare questi difetti della fotocamera e di trasformarli in una vera e propria impronta digitale unica. Si tratta di una caratteristica che non può essere controllata dal produttore e, essendo legata alle proprietà fisiche imprevedibili del wafer di silicio del sensore, è praticamente impossibile produrre due smartphone con la stessa impronta digitale della fotocamera: di fatto, non può essere clonata.
Come funziona?
Quando si accede tramite smartphone ad un account (ad esempio quello bancario) o si finalizzano pagamenti, il sistema acquisisce automaticamente delle immagini con la fotocamera e ne verifica l’impronta del sensore, che viene a sua volta utilizzata per ricavare una chiave crittografica privata. In questo modo viene verificato il reale possesso dello smartphone da parte dell’utente e si procede velocemente al login o al pagamento. In più i dati segreti che identificano l’utente non sono mai memorizzati sullo smartphone.
“La certificazione FIDO riconosce che la soluzione di autenticazione proposta da ToothPic non solo è conforme e interoperabile con gli standard di mercato in materia di sicurezza, ma può essere utilizzata dagli utenti in modo semplice e sicuro senza ricorrere a password combinate”, spiega Giulio Coluccia, Amministratore Delegato di ToothPic.
“In un mondo sempre più digitalizzato, in cui il lavoro da remoto sta diventando una modalità importante per le aziende o in cui l’utilizzo dell’ecommerce e dei nuovi sistemi di pagamento digitale sono diventate soluzioni all’ordine del giorno, la cybersecurity diventa un elemento chiave. Servizi e attività online devono essere in grado di proteggere la privacy degli utenti, ma metodi di sicurezza obsoleti possono accrescere la vulnerabilità dei sistemi. La soluzione ToothPic, in grado di coniugare semplicità e affidabilità, è pronta per essere messa a disposizione di istituti di credito, banche, service provider etc per offrire ai clienti un sistema di sicurezza affidabile e facile da utilizzare”.
Una soluzione win win
Si tratta di un sistema che non richiede apparecchiature sofisticate o dispositivi addizionali: non modifica le abitudini dell’utente, tutta la procedura è completamente automatica e non impone nuovi strumenti, device da portare con sé o ulteriori investimenti in hardware da parte delle società che la implementeranno.
ToothPic ha quindi sviluppato un SDK (Software Development Kit) per Android e iOS, compatibile coi più recenti protocolli e standard di autenticazione, da integrare in applicazioni e sistemi di autenticazione di terze parti per identificare il dispositivo tramite (de)offuscamento di chiavi crittografiche asimmetriche. Le credenziali dei singoli utenti non sono memorizzate in maniera centralizzata sui server aziendali, ma sono decentralizzate sui dispositivi degli utenti, rendendo il sistema meno vulnerabile ad attacchi esterni e rendendo più agevole, per le aziende clienti, la migrazione da un modello on premises a un modello in cloud.
Il sistema è dunque ora conforme ai più recenti standard e requisiti normativi dell’UE: PSD2, FIDO2, FIDO U2F e WebAuthn.
