BUONE NOTIZIE PER GLI SMEMORATI: APPLE “PENSIONA” LE PASSWORD – CUPERTINO HA ANNUNCIATO CHE A SETTEMBRE LANCERÀ I LOGIN SUI DISPOSITIVI UTILIZZANDO I “PASSKEYS”, DELLE CHIAVI DIGITALI CHE UTILIZZANO I DATI BIOMETRICI DELL’UTENTE INVECE DI DIGITARE UNA PASSWORD – IL SISTEMA NON È ESCLUSIVO AD APPLE: MICROSOFT E GOOGLE SPERIMENTANO CON LA STESSA TECNOLOGIA DA TEMPO - MA L’INTRODUZIONE DI QUESTO SISTEMA POTREBBE CAUSARE DEI PROBLEMI: COSA SUCCEDE SE UNO VUOLE PASSARE DA APPLE A UN DISPOSITIVO ANDROID? E POI …
-Articolo di “Wired” – dalla rassegna stampa estera di “Epr comunicazione”
Le vostre password sono terribili. Anno dopo anno, le password più diffuse nelle violazioni di dati sono 123456, 123456789 e 12345 - "qwerty" e "password" si trovano subito dopo - e l'uso di queste password deboli vi rende vulnerabili a qualsiasi tipo di hacking. Le password deboli e ripetute sono uno dei rischi più significativi per la vostra vita online.
Per anni ci è stato promesso un futuro più sicuro e senza password, ma sembra che il 2022 sarà l'anno in cui milioni di persone inizieranno ad abbandonare le password. Alla Worldwide Developer Conference di Apple di ieri, l'azienda ha annunciato che a settembre di quest'anno lancerà i login senza password su Mac, iPhone, iPad e Apple TV. Invece di usare le password, con iOS 16 e macOS Ventura sarà possibile accedere a siti web e app usando i "Passkeys". Si tratta del primo grande passaggio reale all'eliminazione delle password – scrive Wired.
Come funziona? I Passkeys sostituiscono le vecchie password creando nuove chiavi digitali con Touch ID o Face ID, come ha spiegato Darin Adler, vicepresidente delle tecnologie Internet di Apple, alla WWDC. Quando si crea un account online con un sito web, è possibile utilizzare una Passkey al posto della password. "Per creare un Passkey, basta usare Touch ID o Face ID per l'autenticazione e il gioco è fatto", ha detto Adler.
Quando si accede di nuovo a quel sito web, i Passkey consentono di dimostrare la propria identità utilizzando i propri dati biometrici invece di digitare una passphrase (o di farla digitare al proprio gestore di password). Quando si accede a un sito web su un Mac, sull'iPhone o sull'iPad appare una richiesta di verifica della propria identità. Apple afferma che le Passkey si sincronizzano tra i dispositivi utilizzando il Portachiavi di iCloud e che le Passkey sono memorizzate sui dispositivi anziché sui server.
(L'uso di iCloud Keychain dovrebbe anche risolvere il problema della perdita o della rottura dei dispositivi collegati). Sotto il cofano, i Passkeys di Apple si basano sulla Web Authentication API (WebAuthn) e sono crittografati end-to-end in modo che nessuno possa leggerli, Apple compresa. Il sistema di creazione dei Passkeys utilizza l'autenticazione a chiave pubblica-privata per dimostrare che l'utente è chi dice di essere.
Un sistema senza password sarebbe un notevole passo avanti per la sicurezza online della maggior parte delle persone. Oltre a eliminare le password indovinabili, l'eliminazione delle password riduce le probabilità di successo degli attacchi di phishing. Inoltre, le password non possono essere rubate nelle violazioni dei dati se non esistono. (Alcune applicazioni e siti web consentono già di accedere utilizzando le impronte digitali o il riconoscimento facciale, ma di solito richiedono la creazione di un account con una password).
I Passkey di Apple non sono del tutto nuovi - l'azienda li ha illustrati per la prima volta alla WWDC del 2021 e ha iniziato a testarli poco dopo - e Apple non è l'unica a voler eliminare le password. La FIDO Alliance, un gruppo del settore tecnologico, lavora da quasi un decennio agli standard necessari per eliminare le password e i Passkeys di Apple sono l'implementazione di questi standard da parte dell'azienda.
Negli ultimi mesi, FIDO ha compiuto una serie di passi importanti per avvicinare la scomparsa della password alla realtà. A marzo FIDO ha annunciato di aver trovato un modo per memorizzare le chiavi crittografiche che si sincronizzano tra i dispositivi delle persone, chiamandole "credenziali FIDO multidispositivo" o "passkeys".
A maggio Apple, Microsoft e Google hanno dichiarato il loro sostegno agli standard FIDO. Jen Easterly, direttore dell'Agenzia statunitense per la sicurezza informatica e delle infrastrutture, ha dichiarato che l'adozione degli standard garantirà la sicurezza online di un maggior numero di persone. All'epoca, i tre giganti tecnologici avevano dichiarato che avrebbero iniziato a implementare la tecnologia "nel corso del prossimo anno". I proprietari di account Microsoft possono abbandonare le loro password dal settembre dello scorso anno, mentre Google sta lavorando alla sua tecnologia senza password dal 2008.
Quando tutte le aziende tecnologiche avranno lanciato la loro versione di passkey, il sistema dovrebbe poter funzionare su diversi dispositivi: in teoria, si potrebbe usare l'iPhone per accedere a un portatile Windows o un tablet Android per accedere a un sito web nel browser Edge di Microsoft. "Tutte le specifiche di FIDO sono state sviluppate in collaborazione, con il contributo di centinaia di aziende", afferma Andrew Shikiar, direttore esecutivo di FIDO Alliance. Shikiar conferma che Apple è la prima azienda che ha iniziato a introdurre la tecnologia di tipo passkey e afferma che ciò dimostra "quanto questo approccio sarà presto tangibile per i consumatori di tutto il mondo".
Il successo di un futuro senza password dipende da come funziona nella realtà. Al momento, ci sono domande senza risposta su cosa succede ai vostri Passkey se volete abbandonare l'ecosistema Apple per Android o un'altra piattaforma. (Apple non ha ancora risposto alla nostra richiesta di commento) e gli sviluppatori devono ancora apportare modifiche alle loro applicazioni e ai loro siti web per poter lavorare con Passkey.
Inoltre, per ottenere fiducia in qualsiasi sistema, le persone devono essere istruite sul suo funzionamento. "Qualsiasi soluzione valida deve essere più sicura, più facile e più veloce delle password e dei metodi di autenticazione a più fattori utilizzati oggi", ha dichiarato a maggio Alex Simons, responsabile delle attività di gestione delle identità di Microsoft. In breve: se i sistemi cross-device sono complicati o fastidiosi da usare, le persone potrebbero evitarli a favore di password deboli ma comode.
Sebbene Passkey di Apple e gli equivalenti di Google e Microsoft siano ancora lontani alcuni mesi (come minimo), questo non significa che si debba continuare a usare le proprie password deboli o ripetute. Ogni password che utilizzate, sia che si tratti di un account unico per l'acquisto di materiale per il bricolage, sia che si tratti del vostro account Facebook, deve essere forte e unica. Non usate frasi comuni, nomi di amici o di animali domestici o informazioni personali legate a voi nelle vostre password.
Le password devono invece essere lunghe e forti. Il modo migliore per ottenere questo risultato è utilizzare un gestore di password, che può aiutarvi a creare e memorizzare password migliori.