A poco a poco, i giganti della tecnologia scommettono su un mondo senza password in cui vengono implementate altre strategie di autenticazione considerate più sicure. È il caso di Microsoft, che a settembre dello scorso anno ha annunciato la possibilità che tutti gli utenti dell'account con la società potrebbe cancellare le proprie chiavi, se lo desiderasse.
Questo è possibile grazie all'uso di Microsoft Authenticator, Windows Hello, una chiave di sicurezza o il codice di verifica inviato al tuo cellulare o e-mail per accedere alle tue app e servizi preferiti.
Ora anche Google si prepara ad andare in quella direzione, poiché propone un sistema basato su chiavi di accesso. Questa è una nuova proposta che collega una chiave privata all'account personale dell'utente e consente di sincronizzarla tra i dispositivi per l'uso sui siti Web.
La FIDO (Fast Identity Online) Alliance, a cui sono iscritte alcune delle più importanti aziende tecnologiche e che mira a creare nuovi standard sicuri per la gestione dei servizi digitali, ha proposto un nuovo approccio alla sicurezza che lascia dietro di sé sia la password che l'autenticazione a due fattori.
Si tratta di credenziali multi-dispositivo, in grado di aggirare il phishing che è cresciuto così tanto negli ultimi tempi.
In questo caso, è una proposta che memorizza le informazioni crittografiche sul dispositivo (cellulare, computer o tablet), una chiave privata che genera una firma che, in seguito, verifica un server che è stato effettivamente creato con quella chiave privata quando si tenta di accedere a un sito Web.
Nel caso di Android, le chiavi di accesso vengono salvate nell'account Google, consentendo di sincronizzare queste informazioni tra i dispositivi, utile se, ad esempio, si passa a un nuovo telefono cellulare.
L'utente dovrà comunque accedere al proprio account con la password, ma la eviterà nei servizi web.
In pratica, questo processo funziona in modo simile a un gestore di password ed è noto commercialmente come chiave di accesso, come menzionato dall'alleanza nel suo rapporto del marzo 2022 su come FIDO affronta una gamma completa di casi d'uso.
«Come i gestori di password con password, la piattaforma del sistema operativo sottostante sincronizzerà le chiavi crittografiche che appartengono a una credenziale FIDO da un dispositivo all'altro. Ciò significa che la sicurezza e la disponibilità delle credenziali sincronizzate di un utente dipendono dalla sicurezza del meccanismo di autenticazione della piattaforma del sistema operativo sottostante (Google, Apple, Microsoft, ecc.) Per i loro account online e dal metodo di sicurezza per ripristinare l'accesso quando tutto (vecchio) viene perso il dispositivi», si legge in uno dei documenti FIDO.
L'anno scorso, Apple ha annunciato una nuova funzione di autenticazione, chiamata Passkeys, che consentirebbe agli utenti di utilizzare FaceID o TouchID per accedere su siti Web compatibili con questo sistema. In questo modo, non avrebbero bisogno di utilizzare una password in quanto utilizzerebbero un sistema biometrico.
L'annuncio è stato fatto nel giugno dello scorso anno, in occasione della sessione degli sviluppatori intitolata Move beyond passwords, offerta da Apple nell'ambito del suo evento annuale (WWDC 21) per gli sviluppatori.
Come ha spiegato la società, si basa anche sul protocollo promosso dalla FIDO Alliance, a cui Apple ha aderito nel febbraio 2020 per migliorare l'autenticazione online.
Passkeys evita di dover ricordare una password quando si accede a un sito Web, purché la pagina in questione supporti questa tecnologia.
Accanto al nome utente, il riconoscimento facciale FaceID o l'impronta digitale sono collegati a TouchID anziché a una password.
Il suo supporto è già stato incluso in iOS, nella seconda beta della versione 15.5. Da parte sua, Google sta lavorando per includere questa nuova iniziativa, come hanno identificato in 9to5Google, verificando alcune righe di codice per l'ultima versione di Google Play Services (versione 22.15.14).
CONTINUA A LEGGERE: