Che le password siano un sistema di sicurezza ormai antiquato è evidente da qualche anno. Finora, tuttavia, è sempre mancata una presa di posizione decisa sul loro abbandono da parte di qualche colosso hitech.
Ci ha pensato Apple, che durante la sua recente Apple Developer Conference, tra le altre, ha mostrato due tecnologie pronte a dare l’addio proprio a quella forma di protezione che ci ha accompagnato dagli albori della sicurezza informatica. E quindi, ecco Passkey e Privacy Pass.
Indice degli argomenti
I problemi della password
Di base, la password non è un sistema di autenticazione così scadente come si potrebbe immaginare. Il vero problema è che questa dipende in modo consistente dalla scelta di un essere umano e questo, di fatto, rappresenta un’enorme vulnerabilità. Perché si può passare con nonchalance da una password di dodici o più caratteri alfanumerici, casuali, a una di poche lettere, tutte minuscole, che per giunta si rifanno a una parola di senso compiuto molto comune. Non solo: una password, per quanto sicura, può essere condivisa, oppure sottratta per qualche disattenzione o ingenuità, neutralizzando così la sua efficacia.
Secondo uno studio di Keeper Security, il 62% degli individui trasmette password via SMS o email, il 57% le annota su post-it, mentre il 34% le condivide con i colleghi. Comportamenti umani, che minano la bontà di questa storica forma dio protezione. E così ecco che, nel corso degli anni, la comunità della cyber security ha iniziato a sondare e diffondere nuove forme di autenticazione, ma senza mai risolvere di sana pianta il problema. Almeno fino a ora.
Apple e le Big Tech dicono addio alle password, ma rimangono problemi di sicurezza irrisolti
Privacy Pass e Passkey: addio a captcha e password
Di base, Privacy Pass e Passkey non sono due tecnologie rivoluzionarie. Come da tradizione Apple, invece, consolidano due concetti già conosciuti e li fanno diventare leve marketing. E non c’è niente di male, se serve a diffondere delle alternative più efficaci alle password. Privacy Pass è un sistema di autenticazione di utenti, applicazioni e dispositivi che mette in pensione il famigerato captcha, mentre Passkey, per altro già introdotto da Google, rende più fruibile la Multi Factor Authentication. Cerchiamo di fare luce su quale impatto avranno queste due tecnologie nel mondo della sicurezza.
Privacy Pass, come anticipato, vuole eliminare i captcha, vale a dire quei sistemi che filtrano le azioni umane da quelle di bot automatizzati. Ci sono due ottime ragioni per abbandonare i captcha: spesso sono difficili da interpretare, e fanno perdere tempo, e poi esistono già diversi sistemi pronti a neutralizzarli. Privacy Pass, invece, si basa su una tecnologia, chiamata Privacy Access Token (PAT), che automatizza il processo, riconoscendo le richieste umane senza alcun intervento fisico da parte dell’utente.
Privacy Pass: è tutto nel token
L’architettura del PAT si basa sull’utilizzo di un “attestatore” (attester), cioè un’entità digitale che ha accesso ai dati dell’utente strettamente necessari per qualificarne la connessione. Un sistema simile all’emissione di certificati, ma con differenze importanti.
Tutto ha inizio quando il client, cioè l’utente, richiede una connessione a un servizio online che, altrimenti, dovrebbe ricorrere al captcha. Il servizio online, per esempio un sito web, risponde con il classico schema “a challenge”, con una richiesta di Private Access Token via http.
Il client, quindi, confeziona una richiesta di token e la inoltra all’attester, il quale verifica che siano soddisfatte alcune specifiche tecniche (per esempio che la richiesta arrivi effettivamente da un certo dispositivo) e richiede alcune informazioni all’entità che rilascia il token (“issuer”). L’attester trasmette, dunque, una richiesta a cui l’issuer risponde a sua volta con un TokenResponse, che include tutto il necessario.
Il TokenResponse viene quindi trasmesso dall’attester al client, che a questo punto produce un certificato digitale con cui crea il token richiesto dal sito web. Il client invia il token al sito, che concede quindi la connessione.
Privacy a tutto tondo
Tutto il processo è protetto da crittografia e blinding, o “firma cieca”, vale a dire una tecnica con la quale le informazioni trasmesse vengono oscurate prima di essere firmate. In questo modo, nessuno degli attori coinvolti nel processo saprà mai le informazioni che caratterizzano il client.
Il risultato è che Privacy Pass rende fluida l’esperienza di utilizzo per l’utente, al tempo stesso scavalca le vulnerabilità del captcha e offre grande flessibilità. Si pensi, per esempio, a tutte le volte in cui si attiva un captcha per il solo fatto di utilizzare un proxy: con Privacy Pass questo non succede poiché il controllo è fatto sull’utente e non sull’indirizzo IP.
Passkey elimina le password
Se Privacy Pass punta a mettere in soffitta il vecchio captcha, il cui sviluppo risale al 1997, l’obiettivo che si prefigge Passkey è ancora più ambizioso: eliminare, in toto, le password. Al di là delle fanfare suonate come al solito da Apple, il gigante di Cupertino ha la base di utenti, la capillarità e l’autorevolezza per riuscire nell’impresa. E dietro a un prospetto così positivo vi sono anche delle motivazioni tecniche, ovviamente.
La principale è che Passkey si basa su FIDO2, lo standard più recente sviluppato dalla Fast Identity Online Alliace, di cui fanno parte, tra le altre, anche Google e Microsoft. E questo significa puntare su una piena autenticazione multi-fattoriale, senza passare in alcun modo per delle password.
Tutto si riconduce al classico schema crittografico a chiave pubblica, nel quale il dispositivo Apple funge da autenticatore, generando la coppia di chiavi crittografiche. Quella privata resta memorizzata nel dispositivo, mentre quella pubblica viene condivisa nel iCloud Keychain.
A questo punto, il dispositivo viene legato a doppio filo al servizio al quale ci si autentica, e il riconoscimento è effettuato con sistemi biometrici, PIN o altri parametri. Senza lo specifico dispositivo, mobile o desktop che sia, non si può quindi accedere al servizio registrato.
Del resto, utilizzando per esempio un certo servizio su un PC, la cui Passkey si trova tuttavia nel telefono, sullo schermo comparirà un codice QR da inquadrare con lo smartphone, e poi sarà chiesta una verifica biometrica.
Il futuro è senza password
Davvero Private Pass e Passkey sono destinate a rivoluzionare il mondo della sicurezza? Le specifiche tecniche fanno propendere per un deciso sì, ma solo la prova del tempo lo dirà.
Di sicuro, si tratta di soluzioni che limitano ancor più la scelta umana, anche se si dovrà scendere a compromessi con un po’ di rigidità a cui non si era abituati. La contropartita, del resto, merita qualche sacrificio, specie se si pensa a Passkey.
Da una parte ci si trova con un’architettura a chiave pubblica, dall’altra la chiave privata, contenuta solo nel dispositivo, di fatto toglie dall’equazione i database coi dati di autenticazione, merce quanto mai presa d’assalto dai cybercriminali.
Al momento, la vera perplessità è denotare, una volta di più, come la vita degli utenti sarà sempre più legata a un dispositivo digitale senza il quale si rischia di rimanere isolati anche dai servizi più essenziali.
