Nel corso del Data Privacy Day di gennaio IBM aveva annunciato Identity Mixer, una nuova tecnologia per proteggere i dati personali degli utenti durante il processo di autenticazione online. Alcuni giorni fa IBM ha reso disponibile Idenity Mixer agli sviluppatori tramite la piattaforma cloud Bluemix.

È ormai comune per le applicazioni richiedere che gli utenti provino la propria identità inserendo credenziali e dati personali, ma troppo spesso questo processo di autenticazione espone l’utente dell’app a un flusso non necessario e potenzialmente rischioso di informazioni personali nel corso dell’autenticazione.

Per accedere per esempio a un servizio di streaming video tramite un’app, un utente potrebbe dover dimostrare di essere maggiorenne e di aver pagato l’abbonamento a quel servizio. Il che significherebbe rivelare la propria data di nascita, il proprio cognome, indirizzo e altri dettagli personali che non sono necessari come prova. E nel caso di un attacco informatico a quel servizio, tutte queste informazioni finirebbero in mano di chissà chi.

IBM-Identity-Mixer-Protects-Personal-Data-in-the-Cloud

Identity Mixer è stato sviluppato proprio per proteggere la privacy degli utenti focalizzandosi solo su ciò che è essenziale come prova per dimostrare la loro identità. Grazie a un set di algoritmi basati su un accurato lavoro di crittografia di IBM Research, questo strumento permette agli sviluppatori di realizzare app in grado di autenticare l’identità degli utenti tramite quello che viene descritto come “prova a conoscenza zero”, un sistema cioè che non raccoglie dati personali.

Più precisamente Identity Mixer autentica gli utenti chiedendo loro di fornire una chiave pubblica. Ogni utente ha un singolo codice segreto e questo corrisponde a molteplici chiavi pubbliche, o identità. Ogni transazione che un utente compie ricevere una diversa chiave pubblica e non si lascia dietro nessuna “briciola” di privacy.

Tornando all’esempio del servizio di video streaming, gli utenti avrebbero la propria identità e la propria sottoscrizione al servizio conservate all’interno del cosiddetto Credential Wallet (portafoglio di credenziali). Per poter vedere un film, basterà utilizzare questo portafoglio digitale per dimostrare di essere autorizzati a guardare il contenuto selezionato senza dover esporre nessun’altro dettaglio.

Il risultato, secondo IBM, è che la privacy degli utenti è preservata e che il service provider è esentato dalla necessità di proteggere e tenere al sicuro i dati sensibili degli utenti. La pensa così anche Paul Stephens del Privacy Rights Clearinghouse, secondo il quale “tutto ciò che può essere fatto per ridurre la quantità di dati raccolti all’interno del processo di autenticazione non può che essere un fattore positivo”.