Specializzata nell’evoluzione della cybersecurity per l’autenticazione, ToothPic trasforma lo smartphone in chiave di autenticazione sicura. FIDO Alliance (Fast IDentity Online) è l’associazione industriale senza scopo di lucro che promuove standard di autenticazione diversi dalla classica password.
Obiettivo quello di rendere più immediato e sicuro il riconoscimento dell’utente in operazioni sensibili (dati privati, acquisti, protezione e crittografia).
La certificazione FIDO rappresenta dunque il nuovo standard di sicurezza, promosso in tutto il mondo da aziende come Facebook, Amazon e Google.
Questo consente di accedere a tutti gli account online in sicurezza, affidandosi all’autenticazione a due fattori e superando i limiti di una normale password.
L’evoluzione della cybersecurity
Incubata presso l’I3P, Incubatore di Imprese Innovative del Politecnico di Torino, ToothPic è stata fondata da 4 ricercatori e professori del Dipartimento di Elettronica e Telecomunicazioni del Politecnico di Torino.
I fondatori sono inventori dei 4 brevetti alla base dei prodotti offerti dalla startup. ToothPic ha sviluppato una tecnologia MFA (Multifactor Authentication), unica al mondo che permette allo smartphone di diventare una chiave di accesso unica per l’autenticazione online. Questo elimina la necessità di ulteriori password, strumenti o device esterni.
Ogni fotocamera di smartphone infatti lascia una sua firma nascosta e involontaria, una sorta di pattern invisibile di imperfezioni che caratterizza univocamente il sensore fotografico. La tecnologia di Toothpic permette di identificare questi difetti e di trasformarli in una impronta digitale unica.
i tratta di una caratteristica che non può essere controllata dal produttore. Inoltre, essendo legata alle proprietà fisiche imprevedibili del wafer di silicio del sensore, è impossibile produrre due smartphone con la stessa impronta digitale della fotocamera. Di fatto, non può essere clonata.
L’evoluzione della cybersecurity
Come funziona? Quando si accede tramite smartphone a un account (ad esempio quello bancario) o si finalizzano pagamenti, il sistema grazie a ToothPic acquisisce automaticamente delle immagini con la fotocamera.
Ne verifica quindi l’impronta del sensore, a sua volta utilizzata per ricavare una chiave crittografica privata.
In questo modo viene verificato il reale possesso dello smartphone da parte dell’utente e si procede al login o al pagamento. In più i dati segreti che identificano l’utente non sono mai memorizzati sullo smartphone.
Giulio Coluccia, Amministratore Delegato di ToothPic La certificazione FIDO riconosce che la soluzione di autenticazione proposta da ToothPic non solo è conforme e interoperabile con gli standard di mercato in materia di sicurezza, ma può essere utilizzata dagli utenti in modo semplice e sicuro senza ricorrere a password combinate. In un mondo sempre più digitalizzato, in cui il lavoro da remoto sta diventando una modalità importante per le aziende o in cui l’utilizzo dell’ecommerce e dei nuovi sistemi di pagamento digitale sono diventate soluzioni all’ordine del giorno, la cybersecurity diventa un elemento chiave.
Servizi e attività online devono essere in grado di proteggere la privacy degli utenti, ma metodi di sicurezza obsoleti possono accrescere la vulnerabilità dei sistemi.
La soluzione ToothPic, in grado di coniugare semplicità e affidabilità, è pronta per essere messa a disposizione di istituti di credito, banche, service provider etc per offrire ai clienti un sistema di sicurezza affidabile e facile da utilizzare.
L’evoluzione della cybersecurity
La soluzione ToothPic permette quindi di superare il dualismo tra sicurezza e usabilità, tipico dei sistemi di autenticazione odierni.
Un sistema a doppia chiave che però non richiede apparecchiature sofisticate o dispositivi addizionali. Infatti non modifica le abitudini dell’utente, la procedura è automatica e non impone nuovi strumenti da portare con sé, né investimenti in hardware da parte delle società che la implementeranno.
ToothPic ha sviluppato un SDK (Software Development Kit) per Android e iOS. Si tratta di una soluzione compatibile coi più recenti protocolli e standard di autenticazione, da integrare in app e sistemi di autenticazione di terze parti per identificare il dispositivo tramite (de)offuscamento di chiavi crittografiche asimmetriche.
L’evoluzione della cybersecurity
Le credenziali dei singoli utenti non sono memorizzate in maniera centralizzata sui server aziendali.
Sono invece decentralizzate sui dispositivi degli utenti, rendendo il sistema meno vulnerabile ad attacchi esterni e rendendo più agevole, per le aziende clienti, la migrazione da un modello on premises a un modello in cloud.
Il sistema è dunque ora conforme ai più recenti standard e requisiti normativi dell’UE: PSD2, FIDO2, FIDO U2F e WebAuthn.
