Autenticazione sicura: password vs passkey

In breve:

  • Le password spesso portano al riutilizzo, alla frustrazione e al compromesso, poiché gli utenti tendono a dare priorità alla comodità rispetto alla sicurezza.
  • Sebbene i gestori di password offrano una buona soluzione, le recenti violazioni di piattaforme popolari come LastPass dimostrano la necessità di un nuovo approccio all’autenticazione online.
  • Le password, che utilizzano dati biometrici o PIN del dispositivo e sono sostenute da aziende come Apple, Google e Microsoft, rappresentano una potenziale rivoluzione nella sicurezza online, eliminando la dipendenza dalle password tradizionali.
  • Tuttavia, la loro adozione diffusa deve far fronte a problemi di interoperabilità, privacy e sicurezza dei dati.

Le password sono diventate la più grande frustrazione nella nostra vita digitale.

Pur sapendo che ogni accesso deve avere una password complessa con almeno 12 caratteri costituiti da maiuscole, minuscole, numeri e simboli, la comodità può prevalere sulla sicurezza per chiunque non abbia una memoria fotografica.

Il fastidio di mantenere decine di password univoche per ogni sito e smartphone porta inevitabilmente molti di noi a utilizzare segretamente una singola password per più siti.

Tuttavia, quando il proprio negozio online preferito subisce una violazione dei dati, gli hacker proveranno a utilizzare le vostre credenziali sui siti più comuni di cui molto probabilmente si possiede un account come Amazon, Netflix, Paypal e altri.

Se inserite il vostro indirizzo email sul sito web Have I Been Pwned, rimarrete allarmati nel vedere quante violazioni dei dati sono associate al vostro indirizzo email.

Ciò spesso porta gli utenti ad aggiungere l’autenticazione a più fattori e un gestore di password che farà tutto il lavoro pesante per loro. Tuttavia, anche questi metodi possono avere i loro svantaggi.

I gestori di password sono sicuri come pensiamo?

Il gestore di password LastPass ha subito una serie di violazioni dal 2015 che hanno esposto le email degli utenti e le password principali, mentre una violazione sostanziale nel 2022 ha compromesso i dati dei clienti e le informazioni del caveau.

La scoperta del furto di backup crittografati e del possibile accesso alle chiavi di crittografia durante queste violazioni evidenzia una tendenza preoccupante nella sicurezza informatica.

Inoltre, l’abitudine diffusa di riutilizzare le password è stata considerata la causa degli attacchi al gestore delle password Norton LifeLock. 

Nel loro insieme, queste tendenze dipingono un quadro piuttosto inquietante.

I gestori di password saranno sicuri nel 2024? La risposta è che dipenderà interamente da come si usano.

Se la vostra password tipica per ciascun account è molto semplice come ad esempio “123456” e avete scelto di non utilizzare l’autenticazione a più fattori, la sicurezza del vostro archivio di password è irrilevante.

La realtà è che, con credenziali così prevedibili, è solo questione di tempo prima che qualcuno non autorizzato le decifri: la sicurezza di un gestore di password dipende in gran parte dalla responsabilità e dalla prudenza con cui l’utente lo utilizza.

In breve, è necessario un nuovo approccio!

Leggi anche: Proteggi il tuo Smartphone: Consigli Essenziali per Salvaguardare la tua Vita Digitale

Dalle password alle chiavi di accesso: il futuro dell’autenticazione sicura

Le password rappresentano un cambiamento rivoluzionario nell’autenticazione online, segnalando la possibile fine dell’era delle password tradizionali che amiamo odiare.

Alcune soluzioni innovative sfruttano la biometria o i PIN dei dispositivi, offrendo un modo più sicuro per accedere agli account online.

A differenza delle password convenzionali, le chiavi di accesso non dipendono da credenziali potenzialmente deboli e riutilizzate frequentemente, ma forniscono una forte difesa contro le vulnerabilità che affliggono i sistemi basati sulle password tradizionali.

Comprendere i meccanismi dei passcode è fondamentale per apprezzarne il potenziale di trasformazione nella sicurezza online. 

Una chiave di accesso prevede una combinazione di una chiave crittografica privata, archiviata localmente sul dispositivo dell’utente, e una chiave crittografica pubblica, detenuta dal fornitore di servizi.

Quando si accede a un account con password abilitate, il server interroga l’autenticatore dell’utente (come un telefono o un computer).

L’autenticatore utilizza quindi la chiave privata per rispondere, confermando l’identità dell’utente senza la necessità di una password tradizionale. 

Questo processo, noto come “firma” dei dati, fornisce un metodo di autenticazione più sicuro e resistente al phishing, riducendo drasticamente il rischio che le credenziali vengano compromesse.

Google è una delle grandi aziende tecnologiche a favore delle passkey e, quando ha iniziato a supportarle lo scorso anno, l’ha annunciato sul proprio blog come “L’inizio della fine delle password“.

Nonostante la maggiore sicurezza dei codici di accesso, continua però il dibattito sulla possibilità o meno di sostituire davvero le password.

La sfida principale risiede nella sua adozione e interoperabilità su diverse piattaforme e dispositivi. Solo pochi siti Web supportano le password e gestirle su più device può essere complesso.

Inoltre, mentre le passkey eliminano la necessità di ricordare più password e riducono significativamente il rischio di attacchi di phishing, fare affidamento su dispositivi specifici per l’autenticazione potrebbe porre problemi quando il dispositivo non è disponibile o è incompatibile con un altro sistema operativo.

Le sfide della transizione ai codici di accesso

Sebbene le passkey rappresentino un progresso significativo nella sicurezza online, pongono sfide che meritano di essere prese in considerazione. 

La transizione ai codici di accesso comporta un compromesso tra una maggiore sicurezza e la flessibilità dei tradizionali sistemi di password.

Ad esempio, le chiavi di accesso, collegate a dati biometrici o credenziali specifiche del dispositivo, limitano la capacità di condividere l’accesso con persone fidate, una pratica comune in situazioni familiari o di emergenza. Questa limitazione potrebbe influire sugli scenari in cui i genitori devono monitorare le attività online dei propri figli o condividere l’accesso ad account congiunti.

Inoltre, la tecnologia solleva preoccupazioni anche sulla privacy e sulla sicurezza dei dati. Fornire dati biometrici univoci ai fornitori di servizi comporta il timore di un uso improprio o di una condivisione dei dati non autorizzata.

Inoltre, la natura specifica del dispositivo comporta il rischio di perdita di accesso, ad esempio in situazioni come il furto o il cambio di numero di telefono, gli utenti potrebbero ritrovarsi esclusi dai propri account.

Sebbene la maggior parte delle piattaforme offra opzioni di ripristino per le password perse, meccanismi equivalenti per le chiavi di accesso, come le chiavi di ripristino, non sono stati ancora implementati universalmente e richiedono misure proattive da parte degli utenti.

La rimozione completa della password non avverrà da un giorno all’altro, del resto c’è ancora molta strada da fare prima che le aziende adottino pienamente gli standard di settore FIDO per lo sviluppo delle passkey.

Sebbene i soliti sospetti come Apple, Google e Microsoft stiano adottando e promuovendo la tecnologia dei codici di accesso, ci vorrà del tempo per raggiungere le centinaia di siti e app che attualmente richiedono una password per accedere.

L’attuale supporto limitato di passcode con siti Web e app significa anche che gli utenti devono mantenere un approccio ibrido di password e passcode tradizionali, complicando il panorama della sicurezza digitale. 

Sebbene le password rappresentino un passo avanti nella sicurezza delle identità online, la loro implementazione e accettazione richiedono un’attenta navigazione attraverso queste nuove sfide.

In sostanza

L’aspetto dei codici di accesso rappresenta un cambiamento significativo rispetto alle password tradizionali. Questo nuovo approccio all’autenticazione sicura offre un metodo più agile, facile da usare e sicuro per proteggere le nostre identità su Internet.

La sostituzione delle password con le paskey sarà un processo lento e graduale che richiederà un cambiamento nel comportamento degli utenti e un adattamento tecnologico.

Per ora, l’adozione dei codici di accesso, soprattutto per gli account sensibili, è un passo intelligente per rafforzare la sicurezza. 

Ma finché non otterranno un supporto universale e non diventeranno parte integrante della nostra routine digitale, è essenziale mantenere solide pratiche di sicurezza, come l’abilitazione dell’autenticazione a più fattori e l’utilizzo di password complesse

Le passkey rappresentano un futuro più promettente nella sicurezza informatica, ma questo futuro è ancora in via di sviluppo.

Antonio Pirolo
Esperto Crypto & Blockchain

Antonio è un editor affermato nel campo delle criptovalute e del settore del gioco online, con un ampio portfolio di oltre 2.000 articoli, guide e approfondimenti di mercato. Con la sua esperienza in argomenti specializzati come la valutazione e l'analisi dei più importanti asset crypto e dei migliori siti di gioco online, Antonio si è costruito una reputazione per aver fornito delucidazioni chiare su argomenti complessi. Autore di grande esperienza, si confronta continuamente con nuove aree tematiche, anche spinto dall'obiettivo di non rimanere mai troppo a lungo nella sua confort zone professionale. Che si tratti di ambiti complessi o delle ultime tendenze in…