Cerca nel blog

2018/11/27

Stufi delle password? Microsoft le elimina del tutto

Ultimo aggiornamento: 2018/11/28 21:00.

Nota: questo articolo annuncia una nuova proposta tecnologica che tocca moltissimi utenti. Non è necessariamente un consiglio di sicurezza universalmente valido ed è stato aggiornato per chiarirne limiti e vantaggi.

Vi piacerebbe fare a meno di tutte le vostre password? Quelle che dovete custodire, ricordare e digitare e poter accedere lo stesso in modo sicuro ai vostri siti e servizi preferiti?

Alcuni dispositivi e servizi già lo consentono, ma ora l’accesso passwordless è disponibile anche agli 800 milioni di utenti che possiedono un account Microsoft perché usano Windows 10, Outlook, Office, Skype o Xbox Live: pochi giorni fa, infatti, Microsoft ha attivato l’autenticazione sicura senza password su questi sistemi e servizi, sia su computer sia su dispositivi mobili.

Al posto della password potete usare la vostra impronta digitale, il vostro volto oppure un dispositivo speciale, la security key, una sorta di chiave digitale fisica personalizzata, venduta per esempio da Yubico e Feitian. Invece di dare il vostro nome utente e ricordarvi una password, mettete il vostro dito sul sensore, guardate la telecamerina del vostro dispositivo oppure inserite la security key e il gioco è fatto.

Questo sistema ha due grandi vantaggi: il primo è che i dati biometrici, ossia l’impronta del dito o l’immagine del volto, non vengono mandati a nessuno e risiedono soltanto sul vostro computer, tablet o telefonino in un’area protetta della sua memoria, alla quale potete accedere soltanto voi. E se non vi piace la biometria, potete usare una security key. Non c’è insomma il pericolo che qualche sito vi rubi le impronte digitali, semplicemente perché non gliele inviate: una differenza importante rispetto ai siti e servizi che chiedono invece accesso diretto ai vostri dati biometrici.

Il secondo vantaggio è che non essendoci una password, non potete perderla o dimenticarla e il sito che visitate non può farsela sottrarre, come invece avviene spesso. Eliminando le password, insomma, la sicurezza paradossalmente aumenta.

Questa autenticazione senza password usa la crittografia a chiave pubblica, una sorta di doppio lucchetto con una chiave che è appunto pubblica, e quindi può essere condivisa liberamente, e una seconda chiave privata, che non viene mai mandata a nessuno. I siti possono usare la vostra chiave pubblica per fare al vostro dispositivo un challenge, ossia una sorta di indovinello matematico personalizzato che può essere risolto soltanto da chi ha la vostra chiave privata. In questo modo i siti sanno che siete davvero chi dite di essere senza aver bisogno di chiedervi una password.

Nei prodotti e servizi Microsoft potete usare questo sistema anche subito, se attivate l’opzione Windows Hello su un dispositivo Windows 10 aggiornato: vi collegate al servizio che vi interessa, usando per l’ultima volta nome utente e password, e poi attivate in Microsoft Edge la voce Usa Windows Hello. Fatto questo, potrete accedere al servizio semplicemente appoggiando il dito sul sensore o guardando la telecamerina. E per chi preferisce non usare la biometria c’è la chiave digitale, da usare al posto del dito o del viso.

Questa nuova tecnica è più facile da usare che da descrivere, e rende impossibili i classici furti di password basati su siti truffaldini che somigliano a quelli autentici oppure su virus che intercettano le digitazioni. La sua introduzione in massa da parte di Microsoft e la sua presenza in Firefox e Chrome probabilmente ne incoraggeranno molto la diffusione. Certo, le password non spariranno subito, ma il loro regno sofferto si avvia forse alla conclusione, accompagnato da un coro di “Era ora!”, perché molti utenti non sopportano le password, ne soffrono e le usano male. 

Chi segue questo blog sa che sconsiglio l’uso disinvolto della biometria. Ma se la scelta è fra un utente che usa come password 1234578 (e la usa dappertutto) e un utente che usa un autenticatore a chiave biometrica o una security key fisica, è meno insicuro il secondo.


Fonte aggiuntiva: Naked Security.

Nessun commento: