Apple, Google e Microsoft si alleano per un prossimo futuro senza più password

Bene, ma come funzionerà?



Già sentire che Apple, Google e Microsoft si alleano per fare qualcosa insieme fa notizia. Se poi l'alleanza in questione ha lo scopo di abolire definitivamente le password, la notizia diventa quasi incredibile. Ma stavolta pare proprio che si faccia sul serio e che ci si possa preparare alla scomparsa delle password, che verranno sostituite da un sistema semplice e universale chiamato FIDO. Provo a raccontarvi come funzionerà e come un sistema più semplice possa essere più sicuro di quello complicato attuale.


Ci sono tre modi fondamentali per autenticarsi informaticamente: qualcosa che sai (per esempio una password o un PIN), qualcosa che hai (un dispositivo, tipo una tessera o smart card) e qualcosa che sei (un'impronta digitale oppure un altro dato biometrico, come per esempio il volto).


Proteggere i propri dati e i propri account usando soltanto il "qualcosa che sai", ossia le password, come facciamo oggi, è scomodo, macchinoso e profondamente insicuro. Molti utenti cercano di ridurre questa scomodità utilizzando password facili da ricordare (e quindi facili da indovinare per i ladri) e adoperando la stessa password dappertutto, col rischio di vedersi rubare tutti gli account in caso di furto di quella singola password.


Alcuni utenti usano l'autenticazione a due fattori: per collegarsi a un account su un dispositivo nuovo devono digitare non solo la password ma anche un codice usa e getta, ricevuto tramite mail o SMS o generato da un'app sullo smartphone.


Questo migliora parecchio la sicurezza, perché il ladro deve scoprire la password e anche intercettare questo codice usa e getta: deve insomma scoprire il "qualcosa che sai" e impossessarsi fisicamente di un "qualcosa che hai" (ossia lo smartphone della vittima sul quale arriva il codice). Ma questo sistema è macchinoso, richiede che l'utente si ricordi la password e digiti anche un codice distinto per ciascun servizio, e comunque i ladri informatici di oggi sanno creare trappole per carpire anche questi dati.


Microsoft, Google e Apple propongono invece, tramite il sistema FIDO, di lasciar perdere le password e i codici da digitare manualmente e di usare al loro posto una chiave digitale unica, valida per tutte e tre queste aziende e probabilmente anche per molti altri fornitori di servizi che si accoderanno a questa alleanza di giganti informatici.


Questa chiave è un codice crittografico estremamente complesso che viene conservato sullo smartphone, sul tablet o sul computer dell'utente (o anche su tutti questi dispositivi contemporaneamente) e, volendo, viene conservato anche su Internet, e che l'utente non ha mai bisogno di digitarlo. FIDO è un sistema di sicurezza completamente passwordless, ossia senza password.


In pratica, se voglio accedere a un mio account, mi basta il "qualcosa che sei", per esempio il sensore d'impronta o il riconoscimento facciale del mio dispositivo. Tutto qui. Il volto o l'impronta non vengono trasmessi via Internet: restano nel dispositivo.




5 visualizzazioni0 commenti