Formulare una password sicura (e ricordarla) diventa sempre più difficile in un mondo in continua evoluzione digitale. Secondo il software NordPass, ognuno di noi usa in media 100 password e il numero continua a crescere.
Secondo Avast, società di antivirus, più del 90% di quelle in circolazione sono vulnerabili ad attacchi. Ma possiamo farne a meno? Secondo Bill Gates questo incubo vedrà presto la fine.
Ma non solo: esiste un’alleanza, FIDO, che dal 2012 lavora per cambiare il metodo di autenticazione. Tra i soci troviamo Apple, Google e Microsoft pronti a liberarci dalla «schiavitù» delle password.
Il World Economic Forum ha evidenziato che l’80% delle violazioni di dati aziendali è causato da password deboli.
La FIDO Alliance sta quindi lavorando a un’alternativa, in collaborazione con il World Wide Web Consortium, il „Passkey“. Il «passkey» funziona così: quando ci si registra a un servizio online, il dispositivo crea una nuova coppia di chiavi. Quella privata viene conservata sul dispositivo stesso, mentre quella pubblica viene registrata dall’app o dal sito web. Quando l’utente vuole entrarvi successivamente, il dispositivo deve «dimostrare» di avere la sua chiave privata al servizio. La chiave privata viene sbloccata attraverso l’inserimento di un Pin, il riconoscimento facciale o qualsiasi altro strumento che utilizziamo per sbloccare il telefono, Pc o tablet.
Perché sia efficace, lo standard deve essere compatibile con qualunque dispositivo. Finora lo schema prevedeva comunque di chiedere agli utenti di accedere a ogni sito web o a ogni app con ciascun dispositivo prima di poter utilizzare la funzionalità senza password (è il dispositivo a conservare la chiave privata). La novità annunciata in occasione del Password Day sta nel permettere agli utenti di sfruttare la «passkey» anche su nuovi smartphone o Pc, senza doversi autenticare nuovamente. Se l’utente ha impostato un certo numero di credenziali FIDO per diverse parti fidate sul proprio telefono, e poi ha un nuovo telefono, quell’utente dovrebbe potersi aspettare che tutte le sue credenziali FIDO siano disponibili sul nuovo telefono. Questo significa che gli utenti non hanno più bisogno di password: quando si spostano da un dispositivo all’altro, le loro credenziali FIDO sono già pronte per essere utilizzate per l’autenticazione.
Per andare incontro al problema delle numerose e, soprattutto, deboli password, una delle possibili soluzioni è l’autenticazione a due fattori. Si tratta di un sistema che prevede l’inserimento di una password e poi la controprova con un’altra informazione come una OTP (One Time password, che viene inviata via mail o via sms e la cui validità dura pochi minuti) o una notifica su un dispositivo autenticato in precedenza.
Un‘ alternativa è la biometrica, quella tecnologia che trasforma una caratteristica univoca del corpo in un sistema di autenticazione, quali il riconoscimento dell’impronta digitale o del volto, il riconoscimento vocale, il riconoscimento dell’iride, attraverso una luce a infrarossi. Questo è un punto di forza ma anche una debolezza, se i tratti del volto venissero clonati. Un dilemma a cui si aggiunge quello della memorizzazione del dato: è necessario assicurarsi che venga salvato su server sicuri.
Sembra che le soluzioni ci siano, ma come spesso accade nel mondo IT occorre che queste soluzioni diventino degli standard e che questi vengano adottati poi da tutti, quindi non ci resta che attendere ed essere pronti alle novità in arrivo.