In occasione della "Giornata delle Password", che cade ogni anno il 5 di maggio, Apple, Google e Microsoft hanno annunciato di voler ridare vita a un vecchio sogno: l'eliminazione delle password stesse.

A questo scopo hanno annunciato la creazione di un'infrastruttura per consentire il login senza password su smartphone (Android e iOS), computer (Windows e macOS) e browser (Chrome, Edge e Safari), e che dovrebbe iniziare a essere operativa già dal prossimo anno.

Da tempo i tre giganti vanno accusando le password di essere un sistema di autenticazione intrinsecamente insicuro e spingono per alternative che ritengono più adatte e semplici dai utilizzare.

La scelta per un sistema di autenticazione alternativo è caduta sugli smartphone, basandosi sulla convinzione che chiunque debba accedere a un computer, a un'app o a un servizio online ormai ne possieda uno.

Sullo stesso tema:

L'email di phishing che arriva davvero da PayPal

Cosa succede alle password se cambio o perdo il mio dispositivo?

Come fanno i truffatori a rubare soldi dai conti correnti?

Insolita tecnica rubapassword: “Browser in the Browser”

Una volta che il sistema sarà in funzione, per accedere per esempio a un sito web anziché inserire una password l'utente non dovrà fare altro che sbloccare il telefono con il sistema prescelto: PIN, schema, impronta digitale e via di seguito.

Sarà quindi lo smartphone, comunicando una chiave crittografica univoca chiamata passkey, a garantire l'identità dell'utente al sito in questione, che garantirà l'accesso.

Consigliamo la lettura di:

I peggiori 20 tipi di password

Amazon introduce la consegna con la password

Il portafogli digitale UE: documenti, password e sistemi di pagamento

Le peggiori password del 2019

«Con le passkey sui dispositivi mobili, si potrà fare login in un'app o un servizio da pressoché qualsiasi dispositivo, indipendentemente dalla piattaforma che il dispositivo stesso esegue» spiega Vasu Jakkal, di Microsoft. «Per esempio, gli utenti potranno fare login nel browser Google Chrome su un PC con Microsoft Windows usando la passkey di un dispositivo Apple».

«Proprio allo stesso modo in cui progettiamo i nostri prodotti affinché siano intuitivi ed efficienti» - gongola poi Kurt Knight, dirigente di Apple - «li progettiamo anche perché siano privati e sicuri. Il lavoro di definizione di metodi nuovi e più sicuri per l'autenticazione, che offrano protezioni migliori ed eliminino le vulnerabilità delle password è fondamentale per il nostro impegno a realizzare prodotti che offrano la massima sicurezza e un'esperienza utente trasparente, mantenendo al sicuro le informazioni personali degli utenti».

L'idea alla base della proposta è che l'uso di un dispositivi fisico sia più semplice e meno prona ad errori rispetto all'inserimento di una password, ed evidentemente poco importa il fatto che, se lo smartphone viene sbloccato con un PIN, in sostanza una password c'è sempre.

Spunti di approfondimento:

Facebook ha tenuto centinaia di milioni di password in chiaro. Per anni

CEO muore portando con sé la password, persi 126 milioni di euro in criptov...

Per il quinto anno di fila, 123456 è la password più usata al mondo

Sextortion, il ricatto a sfondo sessuale che usa le vere password degli utenti

D'altra parte - ragionano i promotori - dover avere a disposizione un apparecchio per poter effettuare un login impedisce agli hacker di accedere, poiché una password si può rubare o indovinare spesso con una certa facilità, mentre rubare uno smartphone è un po' più complicato. Ugualmente, con il sistema proposto i siti fasulli usati per condurre attacchi di phishing allo scopo di sottrarre password agli utenti diventerebbero di colpo inutili.

Dal punto di vista tecnico, la trovata di Microsoft, Google e Apple si basa sullo standard FIDO, che si basa sul principio della crittografia a chiave pubblica ed è già supportato da diverse applicazioni, anche se la "spinta" ricevuta dall'appoggio dei tre giganti lo renderà un nome senz'altro molto più familiare di quanto non sia ora.

Rispetto alle implementazioni attuali di FIDO, inoltre, il sistema proposto - appoggiandosi al sistema di sblocco dello smartphone - ha il vantaggio di eliminare la password dall'ultimo luogo in cui è tuttora utile: durante la configurazione di un accesso con FIDO, infatti, è necessario proprio indicare una password.

Proposte di lettura:

Lucchetto ''smart'' annuncia a tutti la propria password

Twitter, le password erano salvate in chiaro: bisogna cambiarle subito

WebAuthn, un nuovo standard per dire addio alle password nel web

Per il ''dilemma'' delle password esiste una terza opzione

«Il supporto esteso a FIDO annunciato oggi» - afferma Google per bocca di Sampath Srinivas, che è anche presidente della FIDO Alliance - «consentirà ai siti web di offrire per la prima volta un'esperienza che sia completamente priva di password e allo stesso tempo resistente al phishing. Quando il supporto alle passkey sarà disponibile nel 2022 e nel 2023, avremo finalmente una piattaforma Internet che ci aprirà le porte di un vero futuro senza password».

Non perderti anche:

Il dilemma delle password: deboli e facili da ricordare o complesse?

Le password peggiori dell'anno

Password, abbiamo sbagliato tutto: usare numeri, maiuscole e caratteri speciali ...

Google dichiara guerra alle password