Cybersecurity, l'italiana Toothpic trasforma lo smartphone in una chiave di autenticazione e ottiene le certificazioni FIDO2 e FIDO U2F

ToothPic, la #startup innovativa italiana focalizzata sulla sicurezza informatica per l'autenticazione, annuncia di aver ottenuto la certificazione FIDO per il proprio #software che permette di trasformare qualsiasi #smartphone in una chiave di autenticazione unica e sicura e user friendly.

La certificazione è stata rilasciata da FIDO Alliance (Fast IDentity Online), l'associazione industriale senza scopo di lucro che promuove standard di autenticazione diversi dalla classica password a favore di moderne soluzioni di autenticazione. Obiettivo è rendere più immediato e sicuro il riconoscimento dell'utente in operazioni sensibili come accesso ai dati privati, acquisti, protezione e crittografia.

La certificazione FIDO rappresenta il nuovo standard di sicurezza - promosso in tutto il mondo da aziende come Facebook, Amazon e Google - che consente di accedere a tutti gli account online in completa sicurezza, affidandosi all'autenticazione a due fattori e superando i limiti di una normale password.

Incubata presso l'I3P, Incubatore di Imprese Innovative del Politecnico di Torino, e fondata da 4 ricercatori e professori del Dipartimento di Elettronica e Telecomunicazioni del Politecnico di Torino inventori dei 4 brevetti alla base dei prodotti offerti dalla #startup, #toothpic ha sviluppato una #tecnologia MFA (Multifactor Authentication) unica al mondo che permette allo #smartphone di diventare una chiave di accesso unica per l'autenticazione online, eliminando così la necessità di ulteriori password, strumenti o device esterni.

Ogni fotocamera di uno #smartphone infatti lascia una sua firma nascosta e involontaria, una sorta di pattern invisibile di imperfezioni che caratterizza univocamente il sensore fotografico. La #tecnologia di #toothpic permette di identificare questi difetti della fotocamera e di trasformarli in una vera e propria impronta digitale unica. Si tratta di una caratteristica che non può essere controllata dal produttore e, essendo legata alle proprietà fisiche imprevedibili del wafer di silicio del sensore, è praticamente impossibile produrre due #smartphone con la stessa impronta digitale della fotocamera: di fatto, non può essere clonata.

Come funziona? Quando si accede tramite #smartphone ad un account (ad esempio quello bancario) o si finalizzano pagamenti, il sistema grazie a #toothpic acquisisce del tutto automaticamente delle immagini con la fotocamera e ne verifica l'impronta del sensore, che viene a sua volta utilizzata per ricavare una chiave crittografica privata. In questo modo viene verificato il reale possesso dello #smartphone da parte dell'utente e si procede velocemente al login o al pagamento. In più i dati segreti che identificano l'utente non sono mai memorizzati sullo #smartphone.

"La certificazione FIDO riconosce che la soluzione di autenticazione proposta da #toothpic non solo è conforme e interoperabile con gli standard di mercato in materia di sicurezza, ma può essere utilizzata dagli utenti in modo semplice e sicuro senza ricorrere a password combinate", spiega #giuliocoluccia, Amministratore Delegato di #toothpic.

"In un mondo sempre più digitalizzato, in cui il lavoro da remoto sta diventando una modalità importante per le aziende o in cui l'utilizzo dell'ecommerce e dei nuovi sistemi di pagamento digitale sono  diventate soluzioni all'ordine del giorno, la cybersecurity diventa un elemento chiave. Servizi e attività online devono essere in grado di proteggere la privacy degli utenti, ma metodi di sicurezza obsoleti possono accrescere la vulnerabilità dei sistemi. La soluzione #toothpic, in grado di coniugare semplicità e affidabilità, è pronta per essere messa a disposizione di istituti di credito, banche, service provider etc per offrire ai clienti un sistema di sicurezza affidabile e facile da utilizzare".

La soluzione #toothpic permette quindi di superare il dualismo tra sicurezza e usabilità, tipico dei sistemi di autenticazione odierni.

Un sistema a doppia chiave che però non richiede apparecchiature sofisticate o dispositivi addizionali, promettendo sicurezza e semplicità: non modifica le abitudini dell'utente, tutta la procedura è completamente automatica e non impone nuovi strumenti, device da portare con sé o ulteriori investimenti in hardware da parte delle società che la implementeranno.

ToothPic ha quindi sviluppato un SDK (Software Development Kit) per Android e iOS, compatibile coi più recenti protocolli e standard di autenticazione, da integrare in applicazioni e sistemi di autenticazione di terze parti per identificare il dispositivo tramite (de)offuscamento di chiavi crittografiche asimmetriche. Le credenziali dei singoli utenti non sono memorizzate in maniera centralizzata sui server aziendali, ma sono decentralizzate sui dispositivi degli utenti, rendendo il sistema meno vulnerabile ad attacchi esterni e rendendo più agevole, per le aziende clienti, la migrazione da un modello on premises a un modello in cloud.

Il sistema è dunque ora conforme ai più recenti standard e requisiti normativi dell'UE: PSD2, FIDO2, FIDO U2F e WebAuthn.