di Matt Burgess
Le vostre password sono terribili. Anno dopo anno, le password più popolari che diventano oggetto di leak nei casi di violazioni di dati sono 123456, 123456789 e 12345, seguite a ruota da qwerty e password. Utilizzare password inefficaci rende vulnerabili a attacchi informatici di ogni genere. Le password deboli e ripetute rappresentano uno dei rischi più significativi per la vostra vita online.
Anche se ormai sono anni che ci viene promesso un futuro più sicuro e senza password, sembra che il 2022 sia destinato a essere l’anno in cui milioni di persone inizieranno davvero ad abbandonare le password. Il 6 giugno, in occasione della Worldwide Developer Conference (Wwdc) organizzata dalla società, Apple ha annunciato che a settembre di quest’anno lancerà i login senza password su Mac, iPhone, iPad e Apple TV. Invece di usare le password, su iOS 16 e macOS Ventura sarà possibile accedere a siti web e app usando le cosiddette passkeys. Siamo di fronte al primo grande passo concreto verso l’eliminazione delle password.
Come funzionano le passkey di Apple
Le passkey sostituiscono le vecchie password creando nuove chiavi digitali tramite Touch Id o Face Id, come ha spiegato alla Wwdc Darin Adler, vicepresidente delle tecnologie internet di Apple. Quando si crea un account online su un sito, sarà possibile usare una passkey al posto della password: “Per creare una passkey, basta usare Touch ID o Face ID per autenticarsi e il gioco è fatto“, ha detto Adler.
Quando si accede di nuovo allo stesso sito, le passkey consentono di dimostrare la propria identità utilizzando i dati biometrici invece di digitare una passphrase (o di farla inserire a un password manager). Quando si accede a un sito da un Mac, sul proprio iPhone o iPad apparirà una richiesta di verifica dell’identità. Apple sostiene che le passkey si sincronizzano tra i vari dispositivi attraverso il portachiavi di iCloud e che verranno memorizzate sui dispositivi anziché sui server (il ricorso al portachiavi di iCloud dovrebbe anche risolvere il problema legato ala perdita o alla rottura dei dispositivi collegati). Le passkeys di Apple si basano sulla Web Authentication Api (WebAuthn) e utilizzano la crittografia end-to-end in modo che nessuno – Apple inclusa – possa leggerle. Per dimostrare che un utente sia effettivamente chi dice di essere, il sistema di creazione delle passkey utilizza l’autenticazione a chiave pubblica e privata .
Per la maggior parte delle persone, l’introduzione di un sistema che non preveda password sarebbe un notevole passo avanti sul fronte della sicurezza online. Oltre a eliminare il problema di quelle facilmente intuibili, sbarazzarsi delle password riduce le probabilità di riuscita degli attacchi di phishing. Se non esistono, inoltre, le password non possono essere rubate nei casi di violazione dei dati (ci sono già applicazioni e siti web che permettono di accedere utilizzando le impronte digitali o il riconoscimento facciale, ma di solito richiedono la creazione di un account che a sua volta prevede l’utilizzo di una password).
Le passkey di Apple non sono un’idea del tutto nuova: la società le ha presentate per la prima volta alla Wwdc del 2021, iniziando a testarle poco dopo. Apple, poi, non è l’unica a voler eliminare le password. L’associazione del settore tecnologico Fido Alliance lavora da quasi un decennio agli standard necessari per eliminare le password; le passkey di Apple rappresentano l’applicazione di questi standard da parte dell’azienda.
Le sinergie con Fido
Negli ultimi mesi, Fido ha compiuto una serie di passi importanti che hanno reso la fine delle password un po’ più vicina. A marzo il gruppo ha annunciato di aver trovato un modo per memorizzare chiavi crittografiche in grado di sincronizzarsi tra i diversi dispositivi di un utente, che hanno ribattezzato “credenziali Fido multidispositivo” o “passkey”.
Source link
www.wired.it
2022-06-08 17:00:00
