Fare a meno delle password e usare un metodo di autenticazione sicuro e certificato è il sogno e l'esigenza di molti. L'idea della startup italiana ToothPic va in questa direzione: ha creato una tecnologia Multifactor Authentication che permette di trasformare qualsiasi smartphone in una chiave di autenticazione unica e sicura, eliminando la necessità di password, strumenti o device esterni.

Suddetta tecnologia ha ottenuto la certificazione di FIDO Alliance (Fast IDentity Online), l’associazione industriale senza scopo di lucro che promuove standard di autenticazione diversi dalla password. Il sistema è ora conforme ai più recenti standard e requisiti normativi dell'UE: PSD2, FIDO2, FIDO U2F e WebAuthn.

Per comprendere come funziona questa tecnologia bisogna sapere che ogni fotocamera di uno smartphone lascia una sua firma nascosta e involontaria. È una sorta di pattern invisibile di imperfezioni che caratterizza univocamente il sensore fotografico. La tecnologia di Toothpic identifica questi "difetti" e li trasforma in una vera e propria impronta digitale unica.
È un dettaglio su cui il produttore non ha alcun controllo, perché è indissolubilmente legato alle proprietà fisiche e imprevedibili del wafer di silicio del sensore. Significa che è praticamente impossibile produrre due smartphone con la stessa "impronta digitale" della fotocamera. E che di conseguenza questa singolare impronta digitale non può essere clonata.

Tecnologia all'opera

L'autenticazione non richiede più alcuna azione da parte dell'utente. Quando si accede tramite smartphone ad un account o si finalizzano pagamenti, il sistema acquisisce automaticamente delle immagini con la fotocamera e ne verifica l’impronta del sensore. Quest'ultima viene utilizzata per ricavare una chiave crittografica privata. Così facendo il sistema verifica il reale possesso dello smartphone da parte dell’utente e procede direttamente al login o al pagamento.

Niente password, è un sistema a doppia chiave che non richiede dispositivi addizionali, non modifica le abitudini dell’utente. Tutta la procedura è completamente automatica e non comporta investimenti in hardware da parte delle aziende che la implementeranno.
ToothPic ha sviluppato un SDK per Android e iOS, compatibile coi più recenti protocolli e standard di autenticazione, da integrare in applicazioni e sistemi di autenticazione di terze parti per identificare il dispositivo tramite (de)offuscamento di chiavi crittografiche asimmetriche.

Le credenziali dei singoli utenti non sono memorizzate in maniera centralizzata, ma sono decentralizzate sui dispositivi degli utenti, rendendo il sistema meno vulnerabile ad attacchi esterni.

La certificazione FIDO riconosce che questa tecnologia di autenticazione non solo è conforme e interoperabile con gli standard di mercato in materia di sicurezza, ma può essere utilizzata dagli utenti in modo semplice e sicuro senza ricorrere a password combinate.