L'inizio della fine delle password

La grande estinzione delle password è già in corso

Immagina un mondo senza password.

Puoi ancora accedere a tutti i tuoi account online in questo nuovo mondo senza password. Dai siti WordPress alla tua banca, è più facile e più sicuro che mai creare e accedere a conti online, senza password.

Non sarebbe un sollievo? Buone notizie: l'estinzione globale della password sta già avvenendo e la vita dall'altra parte è migliore.

Alla fine del 2022, Apple ha introdotto il supporto passkey per iOS 16 e MacOS 13 "Ventura".

Ieri, Google ha annunciato che stanno "distribuendo il supporto per le passkey su tutti gli account Google su tutte le principali piattaforme".

In iThemes, siamo molto orgogliosi che il nostro prodotto Security Pro sia stato il primo a portare passkey e altri metodi di autenticazione senza password su WordPress.

Come è possibile una vita senza password?

Circa un mese dopo aver iniziato a utilizzare un Apple Watch, ha iniziato a sbloccarsi automaticamente e ad accedere ai miei computer desktop e laptop che eseguono la versione corrente di MacOS. Non ricordo di aver fatto altro che attivare il supporto passkey MacOS per usarlo con i miei account Google e iThemes Security. Apparentemente, questo ha anche permesso al mio orologio di diventare un dispositivo passkey affidabile.

In precedenza l'accesso biometrico Apple Touch era l'alternativa di password più accessibile che avevo. Ora è il mio orologio. A volte, se sono stato via abbastanza a lungo, devo ancora digitare la mia password, ma il mio orologio lo rende molto meno comune, grazie a una passkey comune collegata al mio ID Apple e a tutti i miei dispositivi Apple.

Le chiavi hardware, come YubiKey, ti offriranno la stessa esperienza di accesso senza password: non sono necessari dispositivi Apple.

I dispositivi Windows e Android supportano accessi senza password, anche grazie alle passkey.

Cosa sono le passkey?

Puoi ringraziare l'open source per le passkey. La tecnologia Passkey si basa sugli standard aperti impostati dall'Alleanza FIDO ("Fast Identity Online"). Sviluppata dal W3C, l'API WebAuthn fa parte dello standard FIDO2. È WebAuthn che consente alle passkey di eseguire rapidamente e facilmente l'autenticazione multipiattaforma e senza password.

Le passkey sono identificatori digitali univoci e crittografati generati da un dispositivo di autenticazione, come il tuo smartphone. La crittografia a chiave pubblica viene utilizzata per creare una coppia di chiavi pubblica e privata. Insieme, questa coppia di chiavi forma la passkey sul dispositivo di autenticazione. Ognuno dei tuoi dispositivi può avere una chiave privata univoca, ma la tua chiave pubblica è condivisa sul web. Probabilmente non vedrai mai nessuno dei due. Nessuno lo farà.

Il tuo telefono o altro dispositivo che supporta la passkey ti verifica come utente autorizzato quando inserisci una password, un PIN o superi una verifica biometrica. Dopo averlo fatto, il tuo telefono e la sua passkey funzionano come una chiave per dispositivi e applicazioni aggiuntivi. Invece di dover digitare nuovamente una password sul tuo laptop e di nuovo per accedere a WordPress, il tuo telefono dice al tuo computer di farti entrare. Quindi il suo sistema operativo dice al tuo browser di chiedere a WordPress di farti entrare, il tutto senza password.

Se i tuoi dispositivi e siti Web sono configurati per le passkey, questa è un'esperienza molto fluida. Potrebbe essere necessario fornire un PIN o superare una rapida verifica biometrica, ma è molto più semplice che compilare tre diversi moduli di accesso senza riciclare le password o utilizzarne di deboli. E se odi l'autenticazione a due fattori (2FA), non è più necessario utilizzarla. ¹

Perché le passkey sostituiranno le password

Inizialmente, le passkey stanno emergendo come opzione di autenticazione insieme a password e 2FA. Puoi usarne uno qualsiasi. Ma nel tempo, poche persone vorranno conservare password non sicure o gestire codici 2FA che richiedono tempo. Le passkey diventeranno rapidamente l'opzione preferita per i seguenti motivi:

1. Sicurezza avanzata. Uno dei motivi principali per cui le passkey sostituiranno le password è la maggiore sicurezza che offrono. Molte violazioni dei dati derivano da password deboli o rubate, evidenziando la vulnerabilità dell'autenticazione tradizionale basata su password. La crittografia a chiave pubblica dietro le passkey è molto più difficile da decifrare.

2. Migliore esperienza utente. Ricordare molte password complesse per i tuoi account online può essere difficile e spesso porta a pratiche di password scadenti. Le passkey semplificano il processo di autenticazione. Hai solo bisogno di un dispositivo che memorizzi la tua passkey per accedere a qualsiasi account che supporti l'autenticazione con passkey. Questa comoda esperienza utente incoraggia l'adozione di passkey come metodo di autenticazione sicuro.

3. Gestori di password Facoltativo. Le passkey possono ridurre, se non eliminare, la necessità di gestori di password tradizionali. Sebbene i gestori di password offrano un'alternativa alla memorizzazione di più password, introducono anche rischi aggiuntivi. Questi depositi di password possono diventare un singolo punto di errore. Come abbiamo visto con LastPass, una piattaforma di gestione delle password violata può esporre tutti i suoi account cliente, le password e le informazioni personali.

Il futuro senza password: come sarà

Ci sono tre grandi vantaggi nell'eclissi delle password da parte delle passkey, ma il loro filo conduttore è il modo in cui le passkey avvantaggiano sia la sicurezza che la semplicità.

I lati positivi

1. Autenticazione senza soluzione di continuità. Man mano che le passkey diventano più diffuse, il processo di autenticazione e accesso ai servizi online diventerà sempre più fluido. Gli utenti saranno in grado di accedere ai propri account semplicemente utilizzando i propri dispositivi di memorizzazione della passkey o metodi di identificazione biometrica, come l'impronta digitale o il riconoscimento facciale.

2. Autenticazione a più fattori semplificata. Le passkey supportano intrinsecamente l'autenticazione a più fattori (MFA) combinando qualcosa che l'utente conosce (la passkey) con qualcosa che l'utente ha (il dispositivo che memorizza la passkey). Questa perfetta integrazione di MFA nel processo di autenticazione porterà a un ambiente online più sicuro senza sacrificare l'esperienza dell'utente.

3. Riduzione delle violazioni dei dati. Man mano che le passkey diventano il nuovo standard per l'autenticazione, è probabile che il numero di violazioni dei dati derivanti da password deboli o rubate diminuisca. La maggiore sicurezza fornita dalle passkey renderà più difficile per i criminali informatici compromettere gli account degli utenti, portando a un panorama digitale più sicuro.

Finora, è stato raro che l'autenticazione sicura fosse accompagnata da una buona esperienza utente. Le passkey sono una grande eccezione. È fantastico, ma ci sono sempre dei lati negativi.

I lati negativi

1. Phishing sofisticato e hacking sociale. Le passkey possono essere quasi impossibili da rubare e decifrare, ma i criminali non si arrendono mai quando la sicurezza aumenta: si adattano a nuovi strumenti e trovano punti deboli trascurati da sfruttare. Oggi, gli strumenti di intelligenza artificiale rendono facile per chiunque apparire fluente in qualsiasi lingua, il che è un enorme vantaggio per chiunque voglia indurre gli altri a fidarsi di loro. Le grandi violazioni delle password possono svanire nel passato, ma il phishing e l'hacking sociale possono diventare più sofisticati e prevalenti.

2. Sicurezza fisica e privacy. I miei dispositivi Apple non sono in grado di dire che non sono io quando mia figlia mancina indossa il mio orologio sul polso più piccolo della mano opposta. Tutto ciò di cui ha bisogno è il mio orologio e il PIN di 4 cifre per accedere al mio computer. ² Un ladro potrebbe farlo, anche la polizia. ³ Man mano che le nostre relazioni con i nostri dispositivi diventano più complesse dal punto di vista fisico, sorgono molte domande difficili sulla privacy personale. ⁴ L'anonimato online, che è già in declino, potrebbe svanire.

3. Le persone condivideranno anche le passkey. I gestori di password sono ampiamente utilizzati per condividere le password, che è una pessima pratica di sicurezza comunque sia fatta. Una password condivisa alla fine diventerà una password rubata. Fortunatamente, è improbabile che tu possa mai vedere, figuriamoci memorizzare, annotare o inviare tramite e-mail una passkey a un collega o un amico. Tuttavia, ora puoi utilizzare alcuni gestori di password per archiviare e persino condividere le passkey. Ci sono modi sicuri per farlo, ma dubito che funzionerà bene nella pratica. Comunque lo fai, condividere i segreti è intrinsecamente insicuro. (Un segreto condiviso non è più un segreto.) La condivisione di dati o informazioni sensibili si basa in gran parte sulla fiducia tra le persone, e questo è sempre un legame debole - vedi i punti 1 e 2 sopra.

Pensiero di sicurezza contro "Non farmi pensare"

Qualunque siano le sfide che ci attendono nel futuro senza password, ci stiamo andando. Le password sono rotte: sono un metodo terribile per l'autenticazione e devono morire: prima è, meglio è. L'adozione dell'autenticazione senza password migliorerà le nostre esperienze online e contribuirà a salvaguardare le nostre vite digitali. Non doversi preoccupare così tanto della sicurezza e della gestione delle password è un enorme sollievo.

D'altra parte, "Don't Make Me Think" è un obiettivo eccellente nell'esperienza utente e nel design dell'interfaccia, ma può essere un disastro per la sicurezza. La semplicità nella progettazione consente l'efficienza degli utenti e impone loro un carico cognitivo inferiore. Le passkey offrono questa semplicità eccezionalmente bene. Ma non dovrebbero renderci più compiacenti riguardo ai potenziali rischi per la sicurezza in un mondo di minacce in continua evoluzione.

Alimentato dalle passkey e dalla loro adozione su tutte le principali piattaforme, il futuro del Web sarà un'esperienza più sicura e user-friendly quando accediamo ai servizi online. I giorni in cui si faticava a ricordare password complesse (e a condividerle o riciclarle) saranno presto un ricordo del passato, e questo è un netto miglioramento.

È giunto il momento di elevare anche i nostri standard di sicurezza di base. Le passkey lo faranno e mi aspetto che ciò contribuirà a rendere più difficili e rari il crimine informatico, la frode e il furto di identità. Inizia a usarli ora e, se disponi di siti WordPress, considera di rendere le passkey un'opzione per accedervi. Continua a pensare anche alla sicurezza. Chiedi cosa significa sicurezza e come le minacce possono cambiare nel nuovo contesto di un mondo senza password.

Appunti:

1. Rapporti come "Mi sono chiuso fuori dalla mia vita digitale" e "Gmail 2FA fa sì che i senzatetto perdano definitivamente l'accesso tre volte all'anno" mostrano gli svantaggi dell'autenticazione a due fattori.
2. Un Apple Watch potrebbe non essere la migliore chiave di sicurezza senza un'autenticazione biometrica, come Touch ID. Sulla base di alcuni dei recenti brevetti di Apple, potrebbe essere in lavorazione una versione palmare di Touch ID.
3. La Electronic Frontier Foundation ha espresso preoccupazione per possibili violazioni dei diritti civili se le forze dell'ordine utilizzano l'accesso passkey a un dispositivo per cercare molti più dispositivi e account online.
4. Potrebbe anche essere possibile identificare firme biometriche univoche dai dati biologici raccolti da orologi e dispositivi simili poiché possono rilevare l'insorgenza precoce di malattie come COVID.

Dan Knauss

Dan Knauss è il Technical Content Generalist di StellarWP. È scrittore, insegnante e libero professionista che lavora nell'open source dalla fine degli anni '90 e con WordPress dal 2004.