All’ultimo WWDC 2022 Apple ha presentato gli aggiornamenti dei suoi sistemi operativi che potenziano notevolmente i sistemi di gestione delle password in ottica passwordless, ovvero di addio alle password.
“In ambito di sicurezza informatica e digital forensics”, commenta Paolo Dal Checco, consulente informatico forense, “le password sono un argomento spesso dirimente, in caso di episodi di attacco, accesso abusivo, danneggiamento, furto, estorsione eccetera. Quindi, questo approccio ‘passwordless’ verso cui ci stiamo dirigendo cambierà notevolmente il panorama tecnico e investigativo”.
Una tendenza, quella dell’addio alle password, che coinvolge e convince tutte le Big Tech, da Google a Microsoft.
Ecco come stiamo entrando nell’era senza password.
I 10 migliori password manager: cosa sono, come usarli e perché sono utili anche alle aziende
Indice degli argomenti
Non solo Apple: addio alle password
Le nostre password proteggono il nostro denaro custodito in banca e a cui accediamo tramite app mobile o home banking. Proteggono il nostro lavoro (se lavoriamo con un CMS o qualsiasi applicativo software, cui si accede via password). Ma le password tutelano innanzitutto la nostra identità, mantenendola al sicuro: sul fronte privacy e sul versante del furto di identità e delle truffe varie.
Ma tutti gli utenti, a partire da quelli che scelgono password debolissime (come la famigerata 12345 o viceversa), odiano le password. Ne scelgono di troppo facili da indovinare (il nome del gatto citato su Instagram o della figlia che danza su Tik Tok), vulnerabili. Oppure se le dimenticano.
Apple, dunque, come dicevamo, sta cercando di traghettare i suoi utenti nell’era passwordless. Ne abbiamo avuto un assaggio alla conferenza mondiale dedicata agli sviluppatori, quando l’azienda di Cupertino ha svelato le novità in arrivo sul nuovo iOS e Mac OS Ventura in autunno.
Passkeys, la soluzione senza password di Apple
Le novità includeranno la possibilità di effettuare il login in vari account online senza dover immettere le amate/odiate password o senza dover più affidarsi a password manager per salvare le credenziali da utilizzare.
La tecnologia di Apple genera passkey uniche per ogni app o servizi basati su browser al posto dei caratteri con cui oggi componiamo le password.
La nuova applicazione Passkeys rappresenta, dunque, un nuovo tipo di autenticazione di identità, grazie alla scansione della propria faccia (per chi ha il Riconoscimento facciale o Face ID sul proprio dispositivo) oppure la classica impronta digitale per effettuare il login.
Le password – non forti (ovvero complesse e uniche, non condivise su più account) e non custodite in maniera corretta – ormai pongono rischi di sicurezza.
Infatti le persone condividono le stesse password, spesso le usano su siti fake che poi rubano le credenziali e le informazioni o addirittura i loro dettagli di account che puntualmente appaiono successivamente nei data leak.
I password manager sono una valida soluzione di sicurezza per proteggere le proprie credenziali, ma solo finché il master password non viene trafugato da malintenzionati per accedere a tutti i login della vittima.
Questo ha spinto gli sviluppatori Apple a realizzare Passkeys, presentata da Darin Adler, vice presidente delle Internet technologies della casa di Cupertino.
Una volta attivate, le passkeys si troveranno custodite su iCloud Keychain, il password management system di Apple, per renderle accessibili sui dispositivi targati Apple: Mac, iPhone, iPad ed Apple TV. App e sviluppatori di siti (e- commerce e mobile banking) inizieranno ad adottare la tecnologia passwordless di Apple.
L’addio alle password di Microsoft e Google
Ma sforzi simili stanno compiendo anche i player concorrenti – Google e Microsoft – puntano a dare l’addio alle password.
La stessa Passkeys, infatti, “ricade” sotto Fast Identity Online Alliance (Fido), l’ associazione industriale che include oltre 250 aziende come Microsoft e Alphabet, la capofila di Google.
Fido lavora da oltre un decennio per creare un format unificato per l’autenticazione online.
Precedenti versioni dello standard richiedono agli utenti di entrare negli account con una password iniziale per ciascun account prima di passare all’autenticazione senza password.
La nuova generazione rimuove quella richiesta ed esplora approcci passwordless, come l’implementazione di differenti metodi di autenticazione biometrica, come le security keys o i PIN archiviati in locale su un device.
Secondo Andrew Shikiar, direttore esecutivo e Chief Marketing Officer della FIDO Alliance: “La chiave è non inviare segreti human-readable in rete. Come ci connettiamo oggi, ci diventerà presto estraneo”.
Sul browser Chrome su Windows PC, l’utente immetterà la sua username e selezionerà “sign in”. Un pop-up gli chiederà di usare lo smartphone per verificare la propria identità. Se appare un QR code sarà possibile scansionarlo con la fotocamera di iPhone o iPad e poi digitare su “Continua” e passare alla scansione con Face ID.
Anche se lo stesso Passkeys richiederà una password tradizionale per mettere in sicurezza iCloud Keychain, il sogno di un mondo senza password è più vicino che mai.
Le possibili vulnerabilità dell’era passwordless
“In primis, si tende a concentrare l’autenticazione verso ciò che si è (riconoscimento biometrico del viso, impronte digitali, eccetera) o ciò che si ha (riconoscimento tramite token hardware) piuttosto che ciò che si sa (riconoscimento tramite password)”, sottolinea Paolo Dal Checco.
“Chiaramente ciò rappresenta un vantaggio dal punto di vista della ‘comodità’ dell’utente”, mette in guardia Dal Checco, “non è detto che lo rappresenti anche dal punto di vista della sicurezza: dipende in gran parte da come il sistema di gestione accessi ‘senza password’ viene implementato e utilizzato”.
“Per fare un esempio”, sottolinea il nostro esperto di cyber security, “spesso gli utenti considerano l’accesso tramite impronta digitale sullo smartphone più sicuro della password”, ma in realtà è più complesso. Infatti “da un lato è vero che l’impronta è qualcosa cha abbiamo solo noi”, afferma Dal Checco, “dall’altro è possibile ad esempio sbloccare il dispositivo con il dito di un utente che sta dormendo o non è più in vita oppure con un’impronta clonata (si trovano online diverse ricerche e persino video che hanno dimostrato il contrario).
Stesso dicasi per il volto: la tecnologia di riconoscimento è sempre più precisa, ma ancora vi sono livelli d’incertezza che rendono il sistema quantomeno da valutare da diversi punti di vista, certamente non ‘più sicuro delle password’ come spesso si tende a percepire”.
“L’utilizzo poi di sistemi di autenticazione tramite token hardware (si pensi alle chiavette U2F come la YubiKey, per esempio)”, avverte Dal Checco, “sono certamente tra i più sicuri, ma d’altra parte prestano il fianco a un tipo di attacco molto basilare: chi riesce a impossessarsi del dispositivo ha accesso così come il legittimo proprietario, ad esempio tramite inserimento del token nella porta USB oppure via NFC”.
“Anche in questo caso, quindi”, conclude Dal Checco, “sicurezza alta, ma nuove superfici d’attacco rendono il sistema ottimo, ma se è gestito e utilizzato in modo corretto, magari combinando più fattori (token, impronta, password, eccetera), così da compensare eventuali vulnerabilità di ogni fattore” preso singolarmente.
