{"id":26732,"date":"2022-05-26T12:37:35","date_gmt":"2022-05-26T10:37:35","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=26732"},"modified":"2022-05-26T12:37:35","modified_gmt":"2022-05-26T10:37:35","slug":"passkey-future-without-passwords","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/passkey-future-without-passwords\/26732\/","title":{"rendered":"Un futuro senza password?"},"content":{"rendered":"

Quest\u2019anno la Giornata Mondiale della Password, tradizionalmente festeggiata a maggio, ha coinciso con l\u2019uscita di una notizia che riguarda tre grandi aziende tecnologiche: Google, Microsoft e Apple hanno annunciato<\/a> la progettazione di una nuova tecnologia in grado di sostituire le password.<\/p>\n

Lo standard verr\u00e0 sviluppato dalla FIDO Alliance, insieme al World Wide Web Consortium (W3C) che si occupa dell\u2019aspetto e del funzionamento di Internet. Si tratta di un tentativo piuttosto serio di eliminare le password a favore di un\u2019autenticazione basata su smartphone (o almeno cos\u00ec sembra dal punto di vista dell\u2019utente).<\/p>\n

Tuttavia, \u00e8 importante ricordare che \u00e8 da circa una decina d\u2019anni che si parla della \u201cmorte delle password\u201d. Tuttavia, i precedenti tentativi di eliminare questo metodo di autenticazione, decisamente inaffidabile, non hanno portato a nulla: le password sono ancora tra noi. In questo articolo vi parleremo dei vantaggi del nuovo standard elaborato dal binomio FIDO\/W3C. Iniziamo per\u00f2 ribadendo qualcosa di ovvio: cosa c\u2019\u00e8 di sbagliato nelle password?<\/p>\n

Il problema delle password<\/h2>\n

Il principale svantaggio delle password \u00e8 che sono abbastanza facili da rubare. Agli albori di Internet, quando quasi tutte le comunicazioni digitali non erano criptate, le password venivano trasmesse in chiaro (anche detto, plain text<\/em>). Con il moltiplicarsi dei punti di accesso alle reti pubbliche presenti nei bar, nelle biblioteche e sui mezzi di trasporto, l\u2019uso delle password \u00e8 diventato un problema reale: un criminale informatico poteva intercettare una password non criptata senza che nessuno se ne accorgesse.<\/p>\n

Tuttavia, il problema delle password rubate \u00e8 esploso all\u2019inizio e a met\u00e0 del 2010, dopo una serie di attacchi di alto profilo ai danni di importanti fornitori di servizi Internet, e con il furto di massa di indirizzi e-mail e password degli utenti. \u00c8 probabile, infatti, che tutte le vostre password di dieci anni fa siano di dominio pubblico e stiano circolando da qualche parte su Internet. Non ci credete? Consultate l\u2019utile servizio HaveIBeenPwned.<\/a><\/p>\n

\"Controllando

HaveIBeenPwned consente di verificare se le proprie password sono state rubate da un cybercriminale. Se una password \u00e8 vecchia e ha almeno dieci anni, la risposta \u00e8 quasi sicuramente s\u00ec<\/p><\/div>\n

\u00a0<\/p>\n

Al giorno d\u2019oggi, ovviamente, \u00e8 meno probabile che attraverso una fuga di dati i cybercriminali possano mettere le mani su delle password in plain text<\/em>. Infatti, molti fornitori di servizi Internet sanno da tempo che immagazzinare le informazioni sensibili degli utenti in modo non criptato pu\u00f2 solo generare problemi. Per questo motivo si sta diffondendo la pratica dell\u2019hashing, <\/em>ovvero dell\u2019immagazzinamento delle password in forma cifrata.<\/p>\n

Il problema \u00e8 che se la password \u00e8 semplice, pu\u00f2 essere comunque estratta da un database criptato attraverso un attacco di forza bruta o un attacco a dizionario<\/a>. Decifrare una password con hash <\/em>quando l\u2019originale era per esempio \u201csegreto\u201d o \u201c123123\u201d \u00e8 un gioco da ragazzi. Questo \u00e8 il secondo problema delle password: per facilitare la loro memorizzazione, molte persone usano password molto deboli, facili da decifrare, e su cui \u00e8 facile mettere le mani (anche se criptate) nel caso si verificasse una fuga di dati da un database.<\/p>\n

Il desiderio di semplicit\u00e0 e comodit\u00e0 ci porta direttamente al terzo problema delle password: l\u2019utilizzo della stessa password su diversi account e servizi. Infatti, una fuga di dati da un vecchio forum online, al quale non ricordate nemmeno di esservi registrati, pu\u00f2 comportare la perdita del vostro account di posta elettronica principale perch\u00e9 avete usato la stessa password.<\/p>\n\n

Password pi\u00f9 un extra<\/h2>\n

Il problema, ovviamente, \u00e8 tutt\u2019altro che nuovo: la maggior parte dei servizi non si affida pi\u00f9 a una sola password, ma utilizza una sorta di autenticazione a pi\u00f9 fattori. Quando si accede a un servizio Internet, ai social, ai conti bancari, ecc. di solito viene richiesto un codice monouso dopo aver inserito le proprie credenziali. Questo codice viene inviato tramite un SMS o l\u2019app bancaria del telefono o attraverso un\u2019app speciale per l\u2019autenticazione multifattoriale<\/a>, come Google Authenticator. I sistemi pi\u00f9 complessi utilizzano un hardware che va inserito in una porta USB del computer o collegato allo smartphone tramite Bluetooth o NFC.<\/p>\n

In alcuni casi, non \u00e8 necessaria alcuna password. Ad esempio, quando si accede a un account Microsoft, l\u2019utente riceve una password unica via e-mail. Di default, l\u2019app di messaggistica Telegram utilizza un\u2019autenticazione basata su codici monouso inviati tramite SMS, senza bisogno di una password (anche se \u00e8 consigliata come misura di sicurezza aggiuntiva).<\/p>\n

Nella maggior parte dei casi, tuttavia, le password sono ancora ampiamente utilizzate come forma di autenticazione di riserva. Ma affidarsi esclusivamente ai codici di accesso via SMS (di gran lunga la forma di autenticazione a due fattori pi\u00f9 comune e comoda per un utente) non \u00e8 una grande idea<\/a>, e non lo \u00e8 per una serie di motivi. In poche parole, si sa da tempo che nel futuro le password sono destinare a scomparire e, finalmente, sembra che quel futuro sia sempre pi\u00f9 vicino.<\/p>\n

Autenticazione senza password: ecco come \u00e8 stata concepita da FIDO\/W3C<\/h2>\n

Entriamo ora nel vivo della questione. Il nuovo standard di autenticazione senza password rende la password (o meglio la passkey, che \u00e8 una combinazione di chiavi crittografiche, pubbliche e private) un elemento puramente tecnico che l\u2019utente non vede pi\u00f9. Ci\u00f2 consente l\u2019uso di chiavi forti e uniche e di una crittografia potente. Questo, a sua volta, rende la vita pi\u00f9 difficile ai cybercriminali e ci assicura che se un account viene hackerato, sar\u00e0 l\u2019unico, e gli hacker non potranno ottener nessun \u201csegreto\u201d.<\/p>\n

Per un utente, la sensazione \u00e8 quella di confermare l\u2019accesso ai social, a un account di posta elettronica o all\u2019online banking <\/em>tramite il proprio smartphone. Sar\u00e0 come fare un pagamento con lo smartphone: si sblocca il dispositivo tramite il PIN o l\u2019autenticazione tramite il riconoscimento facciale o l\u2019impronta digitale, e si conferma la \u201ctransazione\u201d; la differenza \u00e8 che, invece di pagare, si accede al proprio account. In questo modo, se si riesce a sbloccare il dispositivo, significa l\u2019utente \u00e8 davvero lui. Non \u00e8 fantastico?<\/p>\n

Inoltre, lo standard sviluppato da FIDO prevede una funzione aggiuntiva sotto forma di autenticazione Bluetooth su pi\u00f9 dispositivi. Ad esempio, l\u2019accesso al proprio account su un computer portatile \u00e8 pi\u00f9 veloce se il dispositivo \u201cindividua\u201d nelle vicinanze uno smartphone fidato. Questo interessante sistema di autenticazione funzioner\u00e0 per la grande maggioranza degli utenti, ad eccezione forse di quelli che continuano a usare un telefono con pulsanti. Nel futuro prossimo, e grazie al supporto dei tre giganti di Internet, questa funzione \u00e8 destinata a diventare universale. Ma sar\u00e0 un bene per la sicurezza? Analizziamo i pro e i contro della nuova tecnologia.<\/p>\n

Autenticazione senza password: i vantaggi<\/h2>\n

Il supporto di Google, Apple e Microsoft fa pensare che tutti i principali servizi (Gmail, YouTube, iCloud, Xbox) e tutti i dispositivi iOS, Android e Windows inizieranno presto a passare all\u2019autenticazione senza password. Poich\u00e9 lo standard \u00e8 unificato e libero, l\u2019autenticazione dovrebbe funzionare in modo identico su qualsiasi dispositivo. Inoltre, i tre giganti di Internet hanno promesso che sar\u00e0 possibile passare da un dispositivo all\u2019altro. Avete cambiato il vostro iPhone con un Samsung Galaxy? Nessun problema: potete designare il nuovo smartphone come dispositivo di verifica del login.<\/p>\n

Il vantaggio principale di questo nuovo metodo \u00e8 che rende pi\u00f9 difficile portare a termine attacchi di phishing. Il furto di password tradizionale consiste nel creare un falso sito web bancario o di altro tipo, e attirare la vittima verso quella pagina. A quel punto, l\u2019utente inserisce le proprie credenziali di accesso (a volte si tiene conto anche dell\u2019autenticazione a due fattori) e il gioco \u00e8 fatto: l\u2019hacker ha ottenuto l\u2019accesso al conto in banca della vittima. Oltre ad autenticare l\u2019utente, il nuovo standard controlla l\u2019autenticit\u00e0 del servizio stesso. Inoltrare una richiesta di autenticazione su una pagina web non sar\u00e0 pi\u00f9 sufficiente e il furto di password non rappresentera pi\u00f9 una minaccia per gli utenti.<\/p>\n

Infine, il nuovo sistema promette di essere semplice e intuitivo. Se implementato correttamente, la sostituzione della password (anche per gli account gi\u00e0 esistenti) dovrebbe essere molto semplice e il supporto promesso a livello di sistema operativo nei confronti degli smartphone non richieder\u00e0 nemmeno l\u2019installazione di app. Baster\u00e0 andare sul sito desiderato, inserire il proprio identificatore e confermare la richiesta sullo smartphone, e voil\u00e1!<\/p>\n

Autenticazione senza password: problemi non risolti<\/h2>\n

In teoria, non dovrebbe essere considerato un problema, ma molti si pongono sicuramente la domanda: cosa succede se qualcuno mette le mani sul mio \u201cfidato\u201d smartphone\u201d e approva l\u2019accesso a tutti i miei account? La risposta \u00e8 molto semplice: in un modello di sicurezza realistico, non esistono soluzioni infrangibili. Tutto pu\u00f2 essere hackerato; la questione \u00e8 fino a che punto il malintenzionato \u00e8 disposto a spingersi e quante risorse \u00e8 disposto a spendere per raggiungere il suo obiettivo. Dopotutto, anche se memorizzate le vostre password casuali con 128 caratteri esclusivamente nella vostra testa, ci sono metodi affidabili per estrarle.<\/p>\n

\u00c8 inevitabile che vengano hackerati smartphone per ottenere l\u2019accesso agli account, ma si tratter\u00e0 di singoli attacchi, con l\u2019idea di colpire obiettivi specifici e di alto profilo, una sorta di \u201cboutique-attack\u201d. Se prendiamo in considerazione il mercato di massa, ovvero le minacce quotidiane, il furto delle password \u00e8 molto pi\u00f9 diffuso rispetto al furto di smartphone e all\u2019utilizzo del loro contenuto digitale. La nuova tecnologia mira a risolvere esattamente questo problema.<\/p>\n

Vi ricordiamo inoltre che in passato c\u2019era molto scetticismo nei confronti dell\u2019introduzione e diffusione di massa della biometria. All\u2019epoca, molti temevano che qualcuno potesse rubare la loro impronta digitale (nella versione pi\u00f9 hardcore, tagliando il dito) e sbloccare il loro smartphone. Troy Hunt, creatore del gi\u00e0 citato HaveIBeenPwned, ha scritto un intero articolo<\/a> l\u2019anno scorso su un argomento correlato: in un modello di sicurezza realistico, la biometria \u00e8 pi\u00f9 forte delle password.<\/p>\n

Tuttavia, il problema che questa tecnologia senza password non risolve \u00e8 la perdita dello smartphone. Certo, il nuovo standard consente di trasferire il sistema di autenticazione da un dispositivo all\u2019altro. Il modo pi\u00f9 semplice per farlo \u00e8 quando si hanno due dispositivi, ad esempio, un telefono vecchio e uno nuovo. Se il vecchio telefono viene smarrito, dovrete senza dubbio utilizzare un altro metodo di backup per dimostrare che siete voi. Ma quale sia questo metodo di backup non \u00e8 ancora chiaro; molto probabilmente dipender\u00e0 dalle impostazioni del servizio in questione.<\/p>\n

In conclusione, vale la pena di chiedersi: il nuovo sistema non render\u00e0 gli utenti pi\u00f9 dipendenti dalle funzionalit\u00e0 presenti negli account di Google o Apple? Il blocco di un account Google comporter\u00e0 la perdita dell\u2019accesso a tutte le risorse online in generale? Anche se supponiamo che lo standard sia aperto, i sistemi operativi degli smartphone, per non parlare delle infrastrutture, lo sono molto meno.<\/p>\n

Un futuro luminoso<\/h2>\n

Anche uno scettico non pu\u00f2 non ammettere che un sistema basato su una tecnologia senza password \u00e8 migliore rispetto all\u2019uso delle vecchie password. L\u2019obsoleto concetto di password ha bisogno da tempo di una revisione. Lo standard FIDO senza password promette di mettere in ordine molte cose, ma molto dipende anche dagli sviluppatori: Google, Apple, Microsoft e altri. Se ci riusciranno, le nostre vite digitali diventeranno pi\u00f9 facili e sicure. Ma \u00e8 improbabile che ci\u00f2 accada da un giorno all\u2019altro: le password sono cos\u00ec radicate nell\u2019Internet di oggi che ci vorranno molti anni per cancellarle completamente, anche con un nuovo sistema migliorato.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Osserviamo come Google, Microsoft ed Apple possono collaborare per eliminare le password.<\/p>\n","protected":false},"author":665,"featured_media":26734,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2195],"tags":[1899,3,1900,548,3636,33,5,62],"class_list":{"0":"post-26732","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"tag-2fa","9":"tag-apple","10":"tag-autenticazione-a-due-fattori","11":"tag-crittografia","12":"tag-fido","13":"tag-google","14":"tag-microsoft","15":"tag-password"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/passkey-future-without-passwords\/26732\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/passkey-future-without-passwords\/24205\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/passkey-future-without-passwords\/19687\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/passkey-future-without-passwords\/9926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/passkey-future-without-passwords\/26530\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/passkey-future-without-passwords\/24488\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/passkey-future-without-passwords\/24833\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/passkey-future-without-passwords\/27199\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/passkey-future-without-passwords\/33222\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/passkey-future-without-passwords\/10716\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/passkey-future-without-passwords\/44418\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/passkey-future-without-passwords\/18936\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/passkey-future-without-passwords\/19485\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/passkey-future-without-passwords\/28746\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/passkey-future-without-passwords\/32556\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/passkey-future-without-passwords\/25066\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/passkey-future-without-passwords\/30568\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/passkey-future-without-passwords\/30317\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/2fa\/","name":"2FA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26732","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=26732"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26732\/revisions"}],"predecessor-version":[{"id":26738,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26732\/revisions\/26738"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/26734"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=26732"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=26732"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=26732"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}