Stanco di ricordare o gestire lunghi elenchi di password? Buone notizie: il futuro è senza password. Potresti anche essere in grado di passare senza password (o quasi) per alcuni servizi che già utilizzi in questo momento.
Che cosa significa “Passwordless&# 8221; Significa?
Un accesso senza password elimina la necessità di fornire una password, che sia quella che ricordi o di cui tieni traccia in un gestore di password. Dovrai comunque ricordare un identificatore come un nome utente o un indirizzo email, ma dimostrerai la tua identità con altri mezzi.
Esistono vari gradi di implementazioni senza password. L'obiettivo finale per molti è rimuovere del tutto le password, il che significherebbe che non è affatto possibile accedere con una password. Alcuni approcci già in uso ti consentono di accedere con una password come opzione, pur consentendoti di verificare la tua identità utilizzando altri mezzi.
RELATEDLe diverse forme di autenticazione a due fattori: SMS, app di autenticazione e altro
Per sbarazzarsi delle password, sono necessari diversi metodi per verificare che tu sia chi dici di essere. Potrebbe trattarsi di un'app di autenticazione mobile a cui solo tu hai accesso, dati biometrici come un'impronta digitale o una scansione facciale, un dispositivo fisico del mondo reale come una chiave magnetica o una chiavetta USB o approcci meno sicuri come SMS o codici e-mail.
< figure style="width: 650px" class="wp-caption alignnone">Robert Fruehauf/Shutterstock.com
Potrebbe esserti richiesto di utilizzare più di un metodo per dimostrare la tua identità. L'autenticazione a due fattori ha dimostrato l'importanza di un approccio su più fronti e a seconda dell'approccio adottato da qualsiasi servizio a cui stai tentando di accedere, ciò potrebbe essere ancora vero in un futuro senza password.
RELAZIONIQuanto sono sicuri Face ID e Touch ID?
Sono stati fatti passi da gigante nell'implementazione di accessi senza password grazie a nuovi standard come l'autenticazione Web (WebAuthn). Questo approccio elimina la necessità di archiviare su un server centrale dati biometrici come impronte digitali o somiglianze facciali, il che potrebbe avere un impatto devastante sulla sicurezza che nemmeno una violazione della password può eguagliare.
L'autenticazione Web consente ai dati sensibili di rimanere sul dispositivo, mentre solo una chiave viene inviata al server. La verifica avviene localmente sul tuo dispositivo, che viene poi verificata utilizzando una chiave pubblica sul server. Ciò elimina la necessità di proteggere le informazioni segrete su un server (come una password) poiché il segreto deve esistere solo sul dispositivo locale.
RELAZIONATO: Perché non dovresti Non usare gli SMS per l'autenticazione a due fattori (e cosa usare in alternativa)
Quali sono i vantaggi dell'assenza di password?
Uno dei maggiori vantaggi dell'assenza di password è la semplicità. Sebbene la maggior parte delle persone si sia già adattata all'uso dei gestori di password, ci sono ancora alcune password (come le password principali) che devono essere tenute a mente. Dopotutto, non puoi memorizzare la password del database nel database che contiene le tue password.
Evitando la password puoi invece verificare la tua identità senza dover ricordare nulla. Potrebbe essere necessario autenticarsi con un'app per dispositivi mobili o scansionare il viso o l'impronta digitale, e questo è tutto.
Non tutti usano un gestore di password, anche se dovrebbero. Alcuni si affidano ancora al “libro nero” approccio, mentre altri non utilizzano password univoche per ogni nuovo servizio a cui si iscrivono. Mentre alcuni servizi richiedono l'autenticazione a due fattori, molti non lo fanno.
Tim BrookesDai un'occhiata a Have I Been Pwned per vedere quante violazioni dei dati sono state associate al tuo indirizzo email e capirai rapidamente perché così tante persone cercano disperatamente di liberare il mondo dalle password.
RELATEDCome verificare se la password è stata rubata
Rimuovendo completamente le password, rimuovi un punto di debolezza nella sicurezza dell'account. Questo non accadrà dall'oggi al domani, e ci vorrà del tempo perché molti facciano i conti con un futuro che utilizzi metodi di verifica alternativi. Il mondo degli affari sta già adottando soluzioni come YubiKey poiché i costi associati alla violazione delle password possono essere così elevati.
Chiave di sicurezza professionale 
YubiKey 5 NFC di Yubico – 2FA USB-A e chiave di sicurezza NFC
La sicurezza senza password semplificata per i tuoi computer e dispositivi mobili.
Amazon
$ 45.00
Anche questo costo non significa sempre denaro. Molti servizi, come banche e fondi pensione, richiedono l'elaborazione della reimpostazione della password per telefono o anche per posta. Questo richiede tempo sia per la banca che per il cliente. Le soluzioni senza password non saranno sempre prive di attriti, ma pongono meno enfasi sull'utente finale per ricordare o proteggere una stringa arbitraria di numeri, simboli e lettere.
RELAZIONATO: Come proteggere i tuoi account con una chiave U2F o YubiKey
Quali servizi ti consentono di passare senza password?
Al momento in cui scriviamo a novembre 2021, solo Microsoft ti consente di diventare completamente senza password. Ciò significa che puoi rimuovere completamente la password dal tuo account e utilizzare i servizi Microsoft inclusi Xbox, Microsoft 365 e Windows senza dover digitare o incollare una password.
Puoi farlo scaricando il App Microsoft Authenticator per Android o iOS, quindi accedi al tuo account Microsoft in un browser web. Una volta effettuato l'accesso, seleziona “Opzioni di sicurezza avanzate” quindi scorri verso il basso fino a Sicurezza aggiuntiva e fai clic su “Accendi” accanto all'opzione per un account senza password.
Come parte del processo verrai invitato a salvare alcuni codici di backup che puoi utilizzare per accedere al tuo account Microsoft nel caso in cui dovessi perdere l'accesso all'app Microsoft Authenticator. Puoi sempre visitare nuovamente il sito Web delle opzioni di sicurezza di Microsoft e disattivare la funzione, che ripristina l'accesso con password al tuo account in un secondo momento.
Annuncio
Anche Google si sta muovendo verso un futuro senza password, con l'azienda che ha annunciato nel maggio 2021 che sta “creando un futuro in cui un giorno non avrai bisogno di una password”. Se hai un dispositivo Android puoi usare il tuo smartphone per accedere al web, accedi semplicemente al tuo account Google, tocca “Sicurezza” quindi seleziona “Impostalo” accanto a Usa il telefono per accedere.
Apple si è anche mossa nell'implementazione di accessi senza password sul Web in Safari con iOS 15 e macOS 12, rilasciati alla fine del 2021. Le nuove “passkey nel portachiavi iCloud” La funzionalità è ora disponibile per consentire agli sviluppatori di iniziare i test, anche se nulla è ancora pronto o accessibile nelle build consumer.
Garret Davidson di Apple ha spiegato in una sessione del WWDC 2021 come il suo approccio sfrutta WebAuthn utilizzando un coppia di chiavi pubblica e privata:
Con coppie di chiavi pubbliche/private, invece di una password, il tuo dispositivo crea una coppia di chiavi. Una di queste chiavi è pubblica; pubblico come il tuo nome utente. Può essere condiviso con chiunque e tutti, e non è un segreto. L'altra chiave è privata … quando crei un account, il tuo dispositivo genera queste due chiavi associate. Quindi condivide la chiave pubblica con il server.
Ora il server ha una copia della chiave pubblica … la chiave privata rimane sul tuo dispositivo e solo quel dispositivo è responsabile della sua protezione. Successivamente, quando desideri accedere, non invii nulla di segreto al server. Dimostri invece che si tratta del tuo account dimostrando che il tuo dispositivo conosce la chiave privata associata alla chiave pubblica del tuo account.
In parole povere: il tuo dispositivo utilizza la chiave pubblica per verificare, localmente sul tuo dispositivo, che sei chi dici di essere “firma.” Poiché solo la tua chiave privata può produrre una firma valida, solo un dispositivo che conosce la tua chiave privata può superare il test. Il server quindi verifica la tua firma rispetto alla chiave pubblica e decide se concederti l'accesso.
AppleQuesta è una panoramica di base di come funziona WebAuthn e di come Apple intende utilizzarlo per sostituire le password sui suoi dispositivi quando combinate con tecnologie come il riconoscimento facciale e la scansione delle impronte digitali.
Pubblicità
Puoi già disattivare i requisiti per la password per i pagamenti Apple Pay, gli accessi ai dispositivi e i download dall'App Store sul tuo iPhone , iPad e Mac, ma questo porta lo stesso approccio un passo avanti e lo estende ad altri servizi.
Un approccio senza password non è perfetto
Nessuna soluzione è perfetta, a prova di hacker o del tutto infallibile. Potresti perdere l'accesso a un dispositivo o lasciare qualcosa registrato che potrebbe mettere a rischio i tuoi account. Anche Face ID e Touch ID possono essere sfruttati su individui addormentati o incoscienti o creando facsimili realistici dei dati biometrici che stanno cercando.
RELAZIONATO: Come Deepfakes Stanno alimentando un nuovo tipo di criminalità informatica
Forse l'ostacolo più grande sarà l'adozione e convincere la maggior parte delle persone che è meglio lasciar andare le proprie password a favore di un nuovo modo di fare le cose.
Ma una soluzione imperfetta non è una ragione per buttarla via del tutto. Le password sono obsolete e poco pratiche ed è ora di andare avanti. Anche l'autenticazione a due fattori non è perfetta, ma ci sono ragioni per cui aziende come Apple (e presto Google) la impongono.
Lo stesso vale per i gestori di password. Scopri perché usare il tuo browser web come gestore di password potrebbe essere una cattiva idea.
LEGGI SUCCESSIVO
- › Perché sono passato a Garuda Linux
- › Come leggere un disco Zip su un moderno PC o Mac
- › Qual è il difetto di Log4j e in che modo ti riguarda?
- › Commander Keen 4: Il primo e unico videogioco che ho amato
- › Come vedere a quali informazioni private stanno accedendo le tue app iPhone
- › Ascolta, non è necessario che si aprano molte schede del browser