Nonostante il cybercrime continui ad imperversare le password deboli rimangono uno degli elementi presi di mira per accedere ai sistemi informatici. Il metodo Passkey vuole eliminare la vulnerabilità alla radice sostituendo l’uso della password con un sistema più efficace.
Le password sono l’elemento essenziale per accedere ai nostri account sul web e sulle App degli smartphone. Tuttavia, non è garantita la sicurezza, soprattutto per la scorretta abitudine di usarne di semplici, corte o ripetute su numerosi servizi. La FIDO Alliance e il World Wide Web Consortium, propongono un nuovo metodo di autenticazione che elimina le password ma rende più sicuro l’accesso ai nostri dati.
Perché passkey
La vulnerabilità delle password è cosa nota. La difficoltà di doverne gestire molte ha spesso portato gli utenti a generarne di semplici e ripetute e su più account. Non tutti infatti usano un password manager che riesce egregiamente a svolgere il compito di riunire tutti gli accessi in una App per cui dobbiamo ricordare solo la password principale.
Per questo, anche i grandi del web hanno sentito la necessità di adottare un sistema di autenticazione più sicuro. L’accoppiata nome utente e password non era più sufficiente. Anche l’autenticazione a due fattori, 2FA, sebbene sia un ottimo metodo di accesso, può essere in alcuni casi bypassata.
Apple, Google, Microsoft e molti altri, hanno sposato il progetto della FIDO Alliance per definire un sistema più sicuro ma al tempo stesso semplice per l’autenticazione. Oggi, passkey inizia ad essere supportato da App e siti web.
Il problema delle password
Per capire quanto sia problematico a livello mondiale il sistema password basta guardare alcuni dati:
- Le password sono la causa principale di oltre l’80% delle violazioni dei dati
- Gli utenti hanno mediamente più di 90 account online
- Fino al 51% delle password vengono riutilizzate
- 1/3 degli acquisti online non vanno a buon fine a causa di password dimenticate
- $ 70: costo medio del lavoro dell’help desk per una singola reimpostazione della password
Cosa è passkey
Una passkey è una stringa di caratteri utilizzata per autenticare un utente in un sistema o in un’applicazione, ma a differenza delle password tradizionali, non è memorizzata dal sistema. Invece, viene generata in modo sicuro dal dispositivo dell’utente, come uno smartphone o una chiavetta USB di sicurezza, e utilizzata solo per quell’autenticazione specifica.
Tralasciamo il discorso tecnico che sta dietro a passkey, la cosa importante è sapere che non vi è più bisogno di un sistema di autenticazione basato su nome utente e password ma accedere ad un servizio è semplice come sbloccare lo smartphone. Infatti, il sistema biometrico o l’impronta digitale che risiedono esclusivamente sul telefono permettono l’accesso al servizio.
Superare il problema delle password
Nonostante sia già un po’ di tempo che il medoto passkey è stata annunciato è solo da poco che i vari servizi iniziano ad implementarlo. La buona notizia è che nel futuro potremo dire addio al vecchio sistema di autenticazione, sostituito da qualcosa di più efficace.
Nel frattempo però è bene rivedere tutti gli account a cui siamo iscritti e sostituire le password deboli e inserire, dove possibile, l’autenticazione a due fattori. Già questo rende la vita molto più complicata a chi vuole impadronirsi delle nostre credenziali di accesso. Per quanto riguarda le aziende è comunque buona pratica usare un approccio di tipo zero trust, soprattutto per chi gestisce servizi critici.
