Per la sicurezza degli account Google, che consento l’accesso a Gmail e tanti altri servizi, Google ha annunciato una nuova funzione per consentire agli sviluppatori che utilizzano l’accesso a Google di condividere automaticamente le informazioni su eventuali problemi di sicurezza, come gli hacking degli account, per rendere più difficile la diffusione degli attacchi tra i vari servizi.
Un nuovo protocollo di protezione degli account Google (CAP) è stato progettato per inviare e ricevere segnalazioni di sicurezza sugli account degli utenti, in modo che una violazione su un servizio non consenta a un utente malintenzionato di collegarsi a catena dall’account di tale persona su un altro servizio.
È relativamente comune per gli hacker infiltrarsi in un account Google e utilizzarlo per raggiungere un altro obiettivo. Questo approccio si basa sulla vulnerabilità degli account di Gmail e dei cellulari, perché sono spesso usati come log-in, per entrare poi in altre piattaforme. Come dicce il Senior Product Manager di Google per gli strumenti di identità degli sviluppatori, Adam Dawes, “tutte le tue uova sono nel carrello del tuo provider di posta”.
Attualmente, quando un provider di identità, ad esempio un account Google o come un servizio di posta elettronica, rileva un problema, non c’è molto che possa fare per avvisare tutti gli altri servizi che qualcuno potrebbe infiltrarsi. Ad esempio, supponiamo si accedere ad Evernote con un account Gmail. Qualcuno che ha avuto accesso al tuo account Google potrebbe quindi utilizzarlo anche per accedere a Evernote, scegliendo di usare l’accesso tramite Google e, anche se Google avesse “catturato” l’aggressore del proprio servizio, questo hacker potrebbe comunque rimanere connesso a Evernote. La protezione attraverso diversi account è intesa a porre rimedio a questa vulnerabilità, collegando efficacemente la sicurezza dell’account google tramite il servizio di autenticazione di Google.
Google CAP consente a diversi servizi di inviarsi reciprocamente importanti notifiche di sicurezza riguardanti l’utente, ad esempio quando un account Google è stato oggetto di hijack o disabilitato, quando ha “sloggato” un utente da tutte le sessioni, quando impone una modifica della password e quando rileva che un l’account è in realtà un bot. Questo meccanismo fornisce, quindi, agli sviluppatori la possibilità di agire sull’account interessato e di proteggere gli altri servizi collegati.
Per ora, il nuovo sistema di sicurezza per gli Account Google prevede che la persona debba essere registrato tramite Google Sign-in perché tale nuovo meccanismo funzioni, un indirizzo Gmail non è sufficiente, tuttavia altri provider di identità saranno in grado di implementare il protocollo in futuro
“Le persone hanno i dati archiviati in molti luoghi diversi, ma sta diventando sempre più difficile per loro mantenere tutto bloccato e protetto”, ha affermato Mark Buher, Direttore del Product Management che gestisce il team di identità di Google, “in effetti quello che stiamo cercando di realizzare è di rendere internet più sicuro.”
Business Meets Innovation è l’evento della Camera di Commercio Italo-Germanica che mette in contatto corporate…
Smart home e dispositivi intelligenti sono sempre più nel mirino degli hacker. Scopri perché sono…
Khaby Lame vende per $ 975: un'operazione da quasi un miliardo di dollari ridefinisce il…
TD SYNNEX lancia SAS Partner Solution Environment: una piattaforma di enablement per i partner che…
La vera innovazione dell’intelligenza artificiale non è negli algoritmi, ma nelle persone. Nell’vento AI for…
IBM presenta Sovereign Core, un approccio “by design” che integra controllo, verificabilità e governance europea…
Via Italia 50, 20900 Monza (MB) - C.F. e Partita IVA: 03339380135
Reg. Trib. Milano n. 409 del 21/7/2011 - ROC n. 21424 del 3/8/2011