IBM propone l’autenticazione senza dati personali

La tecnologia di autenticazione Identity Mixer di IBM si basa su quello che viene descritto come “prova a conoscenza zero”.

Nel corso del Data Privacy Day di gennaio IBM aveva annunciato Identity Mixer, una nuova tecnologia per proteggere i dati personali degli utenti durante il processo di autenticazione online. Alcuni giorni fa IBM ha reso disponibile Idenity Mixer agli sviluppatori tramite la piattaforma cloud Bluemix.

È ormai comune per le applicazioni richiedere che gli utenti provino la propria identità inserendo credenziali e dati personali, ma troppo spesso questo processo di autenticazione espone l’utente dell’app a un flusso non necessario e potenzialmente rischioso di informazioni personali nel corso dell’autenticazione.

Per accedere per esempio a un servizio di streaming video tramite un’app, un utente potrebbe dover dimostrare di essere maggiorenne e di aver pagato l’abbonamento a quel servizio. Il che significherebbe rivelare la propria data di nascita, il proprio cognome, indirizzo e altri dettagli personali che non sono necessari come prova. E nel caso di un attacco informatico a quel servizio, tutte queste informazioni finirebbero in mano di chissà chi.

IBM-Identity-Mixer-Protects-Personal-Data-in-the-Cloud

Identity Mixer è stato sviluppato proprio per proteggere la privacy degli utenti focalizzandosi solo su ciò che è essenziale come prova per dimostrare la loro identità. Grazie a un set di algoritmi basati su un accurato lavoro di crittografia di IBM Research, questo strumento permette agli sviluppatori di realizzare app in grado di autenticare l’identità degli utenti tramite quello che viene descritto come “prova a conoscenza zero”, un sistema cioè che non raccoglie dati personali.

Più precisamente Identity Mixer autentica gli utenti chiedendo loro di fornire una chiave pubblica. Ogni utente ha un singolo codice segreto e questo corrisponde a molteplici chiavi pubbliche, o identità. Ogni transazione che un utente compie ricevere una diversa chiave pubblica e non si lascia dietro nessuna “briciola” di privacy.

Tornando all’esempio del servizio di video streaming, gli utenti avrebbero la propria identità e la propria sottoscrizione al servizio conservate all’interno del cosiddetto Credential Wallet (portafoglio di credenziali). Per poter vedere un film, basterà utilizzare questo portafoglio digitale per dimostrare di essere autorizzati a guardare il contenuto selezionato senza dover esporre nessun’altro dettaglio.

Il risultato, secondo IBM, è che la privacy degli utenti è preservata e che il service provider è esentato dalla necessità di proteggere e tenere al sicuro i dati sensibili degli utenti. La pensa così anche Paul Stephens del Privacy Rights Clearinghouse, secondo il quale “tutto ciò che può essere fatto per ridurre la quantità di dati raccolti all’interno del processo di autenticazione non può che essere un fattore positivo”.

WHITEPAPER GRATUITI

  • Computerworld Speciale Industria 4.0
    white paper

    Computerworld Italia – Speciale Industria 4.0

    Un PDF da scaricare per leggerlo comodamente su pc o tablet e avere sotto mano e in un unica soluzione le notizie, le analisi e gli approfondimenti sulla trasformazione in atto nel settore manifatturiero, da più parti definita "quarta rivoluzione industriale".
  • white paper

    Computerworld Italia – Speciale GDPR

    Un PDF da sfogliare online o scaricare per leggerlo comodamente su pc o tablet, per avere sotto mano e in un unica soluzione le notizie, le analisi e gli approfondimenti su come le aziende devono affrontare l'arrivo del GDPR.
  • white paper

    Computerworld Italia – Speciale Data Center

    Un PDF da sfogliare o scaricare su pc o tablet per avere sotto mano le notizie, le analisi e gli approfondimenti sulle principali tendenze dei Data Center: integrazione con il Cloud, approccio software-defined, ottimizzazione delle prestazioni energetiche e molto altro