Ora c’è una data di inizio per quel “passwordless future” authentication che di cui si parla da tempo. Entro il 2023 Apple, Google e Microsoft hanno promesso di abilitare esperienze web prive di password e, allo stesso tempo, resistenti al phishing. L’annuncio di questo impegno condiviso è arrivato il 5 maggio. Giorno in cui si è “festeggiata” la Giornata delle Password con report che di nuovo indicano “123456” come una delle password più utilizzate in tutto il mondo, anche dai CEO.
Dalle password al passkey: lo smartphone al centro della passwordless authentication
Per consentire per la prima volta un’esperienza di authentication completamente passwordless verranno implementati gli standard di accesso FIDO. Si creerà quindi un’infrastruttura per consentire il login sia su smartphone (Android e iOS), sia su computer (Windows e macOS), sia su browser (Chrome, Edge e Safari) senza più stringhe di caratteri da digitare.
In realtà gli standard aperti e definiti dalla FIDO Alliance sono già supportati dalle piattaforme delle tre aziende per risolvere i problemi di password e phishing. Ciò che dal prossimo anno cambierà, sarà la modalità con cui beneficiarne. Per ora gli utenti devono accedere in ogni sito web o app con ogni dispositivo prima di poter passare alla modalità passwordless. In futuro, potranno farlo senza dover iscrivere ogni account e indipendentemente dalla piattaforma OS o dal browser che stanno eseguendo.
Basterà sbloccare lo smartphone con il sistema prescelto, il solito PIN, uno schema grafico, l’impronta digitale o quant’altro potrebbe essere introdotto. Sarà il dispositivo stesso a garantire l’identità dell’utente comunicando una chiave univoca chiamata passkey.
Rispetto alle password, vulnerabili alle truffe di phishing oltre che ai “peccati di superficialità”, la passkey è significativamente più sicura. Si tratta infatti di una credenziale FIDO protetta con la crittografia e viene mostrata all’account online solo quando lo smartphone è stato sbloccato.
Anche se attesa da tempo, questa data promessa per l’inizio dell’era passwordless authentication non deve spingere nessuno ad abbassare la guardia. Né a scordare i propri codici di accesso. Non è ancora il momento. Bisogna dare il tempo ai developer di implementare esperienze di passkey nei loro siti web e nelle applicazioni attraverso API disponibili nei browser e nei sistemi operativi per ottenere messaggi crittografici di accesso. Anche lato server sarà previsto uno standard per verificarne l’autenticità e la validità.
MDM e formazione per minimizzare i nuovi rischi via mobile
Dal punto di vista sia dei provider che degli utenti, i vantaggi legati a questo annuncio sono significativi. I primi guadagnano flessibilità, i secondi potranno contare su una user experience più agile e intuitiva. A patto di avere un dispositivo smartphone, ma la rivoluzione passwordless innescata si basa proprio sulla convinzione che siano rimasti in pochi a non possederne uno. E scommette sul fatto che per i pirati informatici sia molto più complesso impossessarsi di un telefono, poi sbloccandolo, che di una password semplice da indovinare o da prelevare.
Ad accogliere con ambivalenti reazioni l’evoluzione annunciata saranno le aziende, le organizzazioni e le PA. La scomparsa delle password le obbliga infatti a rivedere almeno una parte delle proprie strategie di sicurezza, spostando il focus sulle soluzioni di MDM (Mobile Device Management) finora adottate con scarsa solerzia.
Durante i lockdown molti lavoratori hanno preso l’abitudine di utilizzare il proprio smartphone anche per lavoro. E questo senza troppo badare ai rischi legati a questa fuga dal perimetro di sicurezza. Per quando questo dispositivo assumerà un ruolo chiave nell’accesso ai sistemi informativi, alle reti e alle applicazioni anche aziendali, sarà necessario alzare i livelli di protezione in modo consistente.
Essenziale presentarsi preparati alla deadline annunciata da Apple, Google e Microsoft, avviando anche opportuni programmi di formazione ad hoc. Al posto dei tutorial su come scegliere le password e conservarle in sicurezza, guide e best practice per gestire gli accessi da siti e applicazioni dal proprio smartphone, tenendo conto dell’uso ibrido – lavorativo e ludico – che molti ne fanno.
