Un mondo senza password
Le password e la tecnologia chiamata FIDO alla base della sicurezza di domani.
Le password fanno schifo.
Sono difficili da ricordare, gli hacker sfruttano i loro punti deboli e le soluzioni spesso portano problemi. Dashlane, LastPass, 1Password e altri gestori di password generano password complesse e uniche per ogni account che possiedi, ma il software è complesso. I servizi di Google, Facebook e Apple ti consentono di utilizzare le tue password per i loro servizi su altri siti, ma ciò da a loro ancora più potere sulla tua vita online. L’autenticazione a due fattori, che richiede un secondo passcode inviato tramite SMS o recuperato da un’app speciale ogni volta che accedi, aumenta notevolmente la sicurezza ma può comunque essere trovata.
Un grande cambiamento, tuttavia, potrebbe eliminare del tutto le password. La tecnologia, denominata FIDO, revisiona il processo di accesso, abbinando il tuo telefono, riconoscimento del volto e l’impronta digitale a nuovi dispositivi chiamati chiavi di sicurezza hardware. Se mantiene la sua promessa, FIDO creerà password degne di nota e le password come “123456” saranno reliquie di un’epoca passata.
“Una password è qualcosa che conosci. Un dispositivo è qualcosa che hai. La biometria è qualcosa che sei”, ha affermato Stephen Cox, chief security architect di SecureAuth . “Ci stiamo muovendo verso qualcosa che hai e qualcosa che sei.”
Esamineremo le modifiche che ci aiuteranno a liberarci dai problemi con le password. Tali modifiche rappresentano uno sforzo enorme che ti riguarderà ogni volta che controllerai la posta elettronica, trasferirai denaro o accederai alla rete del tuo posto di lavoro. Esaminiamo approcci all’autenticazione che eliminano le password, le carenze dell’autenticazione a due fattori, i vantaggi dei gestori di password . Forniamo alcuni consigli aggiornati per la selezione della password, perché ci vorranno anni per ottenere miglioramenti più profondi della password. Infine, un ammonimento su cosa può andare storto con un gestore di password .
Le password sono orribili
La natura delle password ci spinge a essere pigri. Le password lunghe e complesse, quelle più sicure, sono le più difficili da creare, ricordare e digitare. Molti di noi non li riciclano.
Questo è un grosso problema perché gli hacker hanno già molte delle nostre password. Il servizio “Have I Been Pwned” include 555 milioni di password che sono esposte a violazioni dei dati. Su questo sito puoi scoprire se la tua email potrebbe essere hackerata. Gli hacker automatizzano gli attacchi tramite il “credential stuffing”, provando un lungo elenco di nomi utente e password rubati per trovare quelli che funzionano.
FIDO corregge
Fast Identity Online, meglio noto come FIDO, risolve questi problemi. Standardizza l’uso di dispositivi hardware, come le chiavi di sicurezza, per l’autenticazione. Yubico, Google, Microsoft, PayPal e Nok Nok Labs , tra gli altri, stanno sviluppando FIDO.
Le chiavi di sicurezza sono l’equivalente digitale delle chiavi di casa. Li colleghi a una porta USB o Lightning, consentendo a un’unica chiave di sicurezza digitale di funzionare in modo sicuro con molti siti Web e app. La chiave può combaciare con l’autenticazione biometrica come Face ID di Apple o Windows Hello. Alcuni tasti possono essere utilizzati in modalità wireless.
FIDO consente inoltre a siti e servizi di sostituire del tutto le password, una modifica che potrebbe semplificarti l’accesso e rende più difficile l’hacking.
I sostenitori sono abbastanza sicuri da fare proiezioni audaci sulla sua diffusione. “Entro i prossimi cinque anni, tutti i principali servizi Internet per i consumatori avranno un’alternativa senza password”, afferma Andrew Shikiar , direttore esecutivo di FIDO Alliance, un consorzio industriale. “La maggior parte di quelli utilizzerà FIDO.”
Poiché funziona solo con siti Web legittimi, FIDO interrompe il phishing, un tipo di attacco alla sicurezza in cui gli hacker utilizzano un’e-mail fraudolenta e un sito fasullo per convincerti a comunicare le tue informazioni di accesso. FIDO rende le aziende più tranquille in merito a violazioni catastrofiche dei dati, in particolare, informazioni sensibili sui clienti come le credenziali dell’account. Le password rubate non saranno sufficienti e, se FIDO prende piede, le aziende potrebbero non richiedere password per accedere al loro sito (es. banche).
Accesso senza password
Ecco un modo in cui l’accesso basato su FIDO funziona senza password. Visiterai una pagina di accesso a un sito Web con il tuo notebook, digiterai il tuo nome utente, collegherai la tua chiave di sicurezza, toccherai un pulsante e quindi utilizzerai l’autenticazione biometrica del notebook, come Touch ID di Apple o Windows Hello.
Comodamente, sarai anche in grado di utilizzare il tuo telefono come chiave di sicurezza. Digita il tuo nome utente, ricevi un messaggio sul telefono, sbloccalo, quindi approva te stesso con il suo sistema di autenticazione biometrica. Se stai utilizzando il tuo notebook, il telefono comunica tramite Bluetooth .
| OFFERTA AMAZON – Alexa Echo Dot 4^ generazione |
FIDO supporta la protezione fornita dall’autenticazione a più fattori, che richiede di provare le tue credenziali di accesso in almeno due modi.
Come funziona l’autenticazione FIDO
Il tuo primo incontro con FIDO probabilmente non sembrerà molto diverso dall’autenticazione a due fattori. Digiterai prima una password convenzionale, quindi collegherai o connetterai in modalità wireless una chiave di sicurezza hardware FIDO.
Il processo utilizza ancora le password, ma è più sicuro delle password da sole o delle password supportate da codici inviati tramite SMS o recuperate da autenticatori come Google Authenticator . Questo approccio – password più chiave di sicurezza – è il modo in cui puoi utilizzare FIDO oggi su Google, Dropbox, Facebook, Twitter e servizi Microsoft come Outlook.com e infine Windows .
“Le chiavi di sicurezza hardware sono molto, molto sicure”, ha affermato Diya Jolly, chief product officer della società di servizi di autenticazione Okta . Ecco perché la divisione dei servizi informatici del governo canadese e tutti i dipendenti di Google le utilizzano.
I servizi per i consumatori oggi spesso richiedono di inserire le chiavi solo quando accedi per la prima volta su un nuovo PC o telefono, o quando stai intraprendendo un’azione particolarmente delicata come trasferire denaro dal tuo conto bancario o cambiare la tua password. Naturalmente, una chiave di sicurezza può essere una seccatura se non la hai prontamente disponibile quando ne hai bisogno.
Ecco perchè anche i telefoni possono essere chiavi di sicurezza
Google ha integrato la tecnologia chiave FIDO direttamente in Android nel 2019 e ha fatto lo stesso con il suo software iPhone a gennaio. Ciò ti consente di accedere al tuo account Google sul tuo notebook con un messaggio che appare sul tuo telefono, purché sia all’interno della portata del Bluetooth del tuo notebook. Aspettati che questo approccio si diffonda oltre Google.
Siti web e browser ottengono l’autenticazione FIDO con una funzione chiamata WebAuthn . FIDO è integrato in Android , quindi anche le app possono usarlo e Apple è appena entrata a far parte della FIDO Alliance, che fa ben sperare per il supporto FIDO nelle app per iPhone .
Anche Microsoft è un grande sostenitore. Ha scavalcato Google abilitando l’accesso senza password per Outlook, Office, Skype, Xbox Live e altri servizi online.