Password, l’obsolescenza è programmata

Pubblicato da Hacky il

L’incubo che si ripresenta ad ogni nuova registrazione o accesso ad un sito.

Il problema

A nessuno piacciono le password. Sono scomode, insicure e costose. Infatti, le odiamo cosi tanto che abbiamo lavorato sodo per cercare di creare un mondo che ne fosse privo – un mondo senza password.

Microsoft Security Team

Inizia in questo modo l’articolo scritto oramai un anno fa dal team di security di una delle più grandi società informatiche della storia dell’uomo ad oggi, Microsoft. Ma il tema è ancora caldo, scopriamo insieme come mai questo metodo di autenticazione non è più ritenuto sicuro dagli stessi esperti informatici.

Le password sono lo strumento di accesso ai siti web più utilizzato ad oggi, ma sono allo stesso tempo sono anche insicure.

Stando ai dati di haveibeenpwned.com più di 9 miliardi di account sono stati compromessi da data breaches nel corso degli anni e molte di queste password vengono riutilizzate su altri siti aumentando l’esposizione al rischio di attacco informatico.

Le soluzioni dell’industria IT

Ma come affronta questo problema il mondo dell’industria informatica? Sono diverse le metodologie di autenticazione alternative o integrative:

  • Two-factor authentication (2FA), ossia l’autenticazione a due fattori
  • Multi-factor authentication (MFA), ovvero l’autenticazione con molteplici fattori
  • Password manager, al fine di automatizzare la gestione delle password
  • Passwordless, l’ultima tappa per le password

MFA, 2FA, Password manager

Sfortunatamente il MFA/2FA introduce attrito nella user experience ed ha avuto un adozione tiepida da parte del grande pubblico della net (Google dichiara che solo il 10% dei suoi utenti usa il 2FA per proteggere il suo account), mentre i password manager, per quanto utili, non risolvono di fatto il problema delle password ma aiutano a gestirlo.

Passwordless

La soluzione a lungo termine è quella di non avere più il concetto di password.

Più di un anno fa Microsoft ha annunciato il lancio di un sistema per il login senza password, utilizzando l’app Microsoft Authenticator, mentre la società di sicurezza digitale Yubikey ha annunciato nello stesso periodo una nuova versione delle sue chiavi di sicurezza USB che rinuncia del tutto alla necessità di password. No, non è una rivoluzione, ma tutto si muove in tale direzione.

La nuova funzionalità di accesso senza password di Microsoft funziona attraverso un’app. Una volta effettuato l’accesso all’app di Microsoft (utilizzando la tua password attuale, ma solo la prima volta), avrai la possibilità di accedere ad altri servizi del gigante di Redmond utilizzando l’app invece della tua password. Ad ogni nuovo accesso su dispositivi non riconosciuti, Microsoft Authenticator ti invierà una notifica sul telefono, che potrai approvare utilizzando il PIN o il biometrico che usi per sbloccare il telefono.

Implicazioni e futuro

Il passwordless è alle porte, lo vediamo già nella vita di tutti giorni. Che sia un ragazzo in treno che usa il FaceID del suo iPhone, una signora che sblocca il suo bagaglio di dati personali racchiusi nello smartphone tramite impronta digitale o un nerd che usa diversi token hardware per poter accedere alla propria posta, il futuro è gia qui.

Per quanto riguarda le tue password, forse è il caso di preparare un piano di dismissione al fine di poter ridurre il potenziale rischio di furto dei tuoi dati e dei tuoi soldi.