Alcune persone non riescono a smettere di parlare della morte della password. Le password sono vecchie, insicure e facilmente trapelate. Presto utilizzeremo tutti dati biometrici, chiavi di sicurezza hardware e altre soluzioni futuristiche, giusto? Beh, non così in fretta.
Abbiamo parlato con 1Password il capo della sicurezza, Jeffery Goldberg, che ha detto di essere "cautamente ottimista sul fatto che questa volta potremmo vedere un'ammaccatura nel problema della password".
Questo è il punto di vista ottimistico, ed è lontano dalla morte delle password.
Perché le persone vogliono uccidere la password
Quando si discute dell'obiettivo dell'azienda di " Costruire un mondo senza password, "Nel maggio 2018, il team di sicurezza di Microsoft ha scritto:
“A nessuno piacciono le password. Sono scomodi, insicuri e costosi. In effetti, non ci piacciono così tanto che siamo stati impegnati al lavoro cercando di creare un mondo senza di loro, un mondo senza password ".
Le password sono diventate più fastidiose nel tempo e siamo diventati tutti saggi nei confronti del rischio di riutilizzarne una. Se utilizzi la stessa password su più siti e si verifica una perdita di password, la tua può essere utilizzata per accedere al tuo account su un altro sito web. Quindi, devi scegliere una password complessa e univoca per ogni servizio che utilizzi. Sono finiti i giorni in cui si riutilizzava una password breve e semplice su una manciata di siti web.
Per la maggior parte delle persone che non hanno ricordi sovrumani, è impossibile ricordare una password forte e univoca per ogni account online. Ecco perchè consigliamo i gestori di password - ricordano per te tutte quelle password complesse e uniche. Devi solo ricordare la tua password principale, che è molto più facile che ricordarne 100 e molto più sicura che riutilizzare la stessa.
Anche con un gestore di password, tuttavia, non è completamente sicuro. Qualcuno con un keylogger sul tuo sistema potrebbe catturare la tua password e accedere come te. Questo è il motivo per cui i servizi aggiungono ulteriore sicurezza. Spesso digitiamo una password e poi dobbiamo autenticarci una seconda volta con un codice o una chiave.
C'è un modo migliore?
Cosa potrebbe sostituire la password?
Goldberg ha detto di aver visto "schema dopo schema" proporre di uccidere le password negli ultimi vent'anni, molti dei quali non hanno imparato da ciò che era fallito in passato. Ma quelli più recenti potrebbero avere maggiori possibilità di successo grazie a progressi come dispositivi locali più potenti.
La biometria può sostituire una password. Puoi utilizzare Touch o Face ID (biometria) per accedere al tuo iPhone invece di digitare un PIN. I telefoni Android hanno anche funzioni di accesso tramite impronta digitale e facciale.
Puoi anche adesso creare account Microsoft "senza password" per accedere a Windows. Il tuo nome utente è il tuo numero di telefono e la "password" che digiti è un codice inviato al tuo numero di telefono tramite SMS.
Puoi anche usare un file chiave di sicurezza fisica invece di una password per autenticare i tuoi account online. Tieni la chiave con te (puoi persino tenerla sul portachiavi) e usala tramite USB, NFC o Bluetooth quando è il momento di accedere.
Anche i telefoni possono sostituire le password. Google ora consente ai dispositivi Android di funzionare come chiavi FIDO2 . Potrebbe anche essere necessario autenticarsi con un'impronta digitale sul telefono quando si accede a un sito Web sul laptop.
Molte aziende cercano di ridurre la dipendenza dalle password offrendo provider "single sign-in". Questo è quando accedi a Facebook, Google, ecc. E quindi utilizzi quell'account per accedere ad altri servizi, senza bisogno di password aggiuntive.
Le "sostituzioni" della password non sostituiscono le password
Tuttavia, qui c'è un grosso problema. Le tecnologie pubblicizzate come "sostituzioni" di password non sono in realtà sostituzioni, almeno, non ancora.
I dati biometrici, come Face o Touch ID, richiedono comunque sia un passcode che una password ID Apple sul dispositivo. Alcune attività richiedono un PIN anche per scopi di crittografia in background. Le funzionalità biometriche su Android e Windows Hello su Windows 10 funzionano allo stesso modo, fondamentalmente come funzionalità di comodità. È più facile accedere al tuo dispositivo perché non devi digitare una password ogni volta, ma non sostituire la tua password.
Anche un account senza password che ti invia codici telefonici non è eccezionale. Invece di una password per il tuo account, questo servizio ne genera una nuova ogni volta che tenti di accedere e te la invia tramite SMS. Questo è meno sicuro del metodo tradizionale di una singola password più un codice di sicurezza che ti viene inviato quando accedi.
Sfortunatamente, gli aggressori rubano facilmente i numeri di telefono in molte situazioni, il che lo rende meno sicuro. È un ottimo metodo per raggiungere le persone nei paesi in cui i numeri di telefono sono onnipresenti e riduce l'attrito della registrazione di un account, motivo per cui Amazon offre anche questo. Ma non è una buona soluzione sostituire le password.
La maggior parte dei servizi che hanno adottato chiavi di sicurezza fisiche li utilizzano come file un'opzione di autenticazione aggiuntiva . Devi ancora accedere con la tua password, quindi fornire la chiave di sicurezza come conferma secondaria per entrare. La possibilità di utilizzare una chiave senza password è ancora molto lontana.
C'è anche un problema di privacy con i servizi Single Sign-On. Quando fai clic su "Accedi con Google" o "Accedi con Facebook", l'operatore del servizio, Google o Facebook, sa a cosa stai effettuando l'accesso.
Ci saranno sempre password (in background)
Anche se il sogno di Google di sostituire le password con i telefoni si realizzerà, non eliminerà la password. The Verge ha riassunto i piani di Google in questo modo: "Se hai già effettuato l'accesso al tuo telefono, questo potrebbe essere utilizzato per" eseguire il bootstrap "del dispositivo successivo a cui desideri accedere con il tuo account Google."
Potresti evitare di utilizzare la password per molto tempo, ma è ancora presente in background. Dopotutto, ne avrai bisogno se perdi tutti i tuoi dispositivi.
Le password sono ancora diffuse. Sono facili da configurare e utilizzare. Le "sostituzioni" delle password offrono maggiore comodità o maggiore sicurezza. Ma avrai sempre bisogno di un modo per riottenere l'accesso se perdi il dispositivo e non puoi utilizzare la tua biometria o la sicurezza dell'hardware.
"Penso che ci saranno sempre casi limite che richiedono password", ha affermato Matt Davey, chief operating officer di 1Password. Ad esempio, Accedi con Apple in iOS 13 offre un'opzione di accesso basata sul Web che utilizza la password del tuo ID Apple quando accedi su un dispositivo non Apple. Una password funziona ovunque ed è l'impostazione predefinita universale quando non sono disponibili dati biometrici elaborati o funzioni di sicurezza hardware.
Come ha affermato Goldberg, "le password sono davvero, davvero facili" da implementare per i siti web. "Sono ancora la cosa più semplice da usare per gli operatori di servizi."
Ecco perché 1Password è ottimista sul futuro dei gestori di password. La società ha affermato di aver visto più nuovi utenti anche se la concorrenza cresce, e aziende come Apple, Google e Mozilla diventano più serie riguardo alla gestione delle password.
Cosa riserva il futuro?
Il sogno di uccidere la password è molto lontano. Anche se il processo va bene, lo scenario migliore è che andremo avanti lentamente, con alternative più facili alle password.
Un giorno le password potrebbero essere così relegate in secondo piano da diventare un metodo di recupero dell'account dimenticato da tempo. Ma probabilmente saranno in giro per molto tempo a venire. La battaglia per bandirli dall'uso quotidiano per la maggior parte delle persone sarà lunga e combattuta. Ma uccidere completamente le password? È ancora più difficile da immaginare.
