L’accesso senza password sarà il futuro della sicurezza online.
Phishing. Questo termine inglese viene ripetuto sempre più spesso quando si parla di truffe online. è una pratica tanto semplice quanto subdola, il malcapitato riceve una mail apparentemente regolare, con una comunicazione che lo invita ad accedere al suo profilo/account con la motivazione di dover urgentemente aggiornare delle informazioni. Il sito in questione però è solo una copia più o meno ben ricreata dell’originale, che una volta inserita la password (che per la maggior parte dei casi le statistiche ci dicono essere sempre la stessa nei diversi siti a cui un normale utente si registra – n.d.r.) la cattura e permette agli hacker di turno di operare con facilità a scapito del malcapitato, svuotando ad esempio il suo conto corrente, o acquistando articoli o abbonamenti di vario tipo, tutto a spese di chi ha “abboccato” alla truffa (da qui il termine phishing, pescare appunto).
Tutto questo nel prossimo futuro cambierà in meglio, nel corso di quest’anno molte delle big tech, come Apple, Microsoft, Google etc… hanno trovato un accordo su uno standard di interoperabilità volto a rimpiazzare il meccanismo dell’ autenticazione tramite password.
Nessuno dovrà più ricordarle e molte delle minacce come il phishing saranno solo un lontano ricordo.
Tutto questo grazie ad uno stardard comune frutto di oltre 10 anni di lavoro realizzato dalla FIDO alliance (Fast Identity Online), di cui fanno parte, tra le altre, le aziende sopra citate.
Come funziona?
Il funzionamento si basa sul concetto di coppia di chiavi, pubblica e privata, che due sistemi si scambiano in fase di registrazione ed accesso ad un sistema protetto. Vediamo di spiegare in modo semplice il meccanismo alla base, tramite 2 entità, A (l’utente che vuole registrarsi) e B (l’autenticatore). Partiamo da 2 semplici definizioni:
Una chiave privata è una lunga sequenza di caratteri che di fatto rappresenta la chiave di accesso al sistema. Essa è univoca e non lascia mai il dispositivo sulla quale viene creata.
Una chiave pubblica è anch’essa una sequenza di caratteri, che viene generata sulla base della chiave privata e che contrariamente alla chiave privata, viene distribuita, a chi? al sito web / app / servizio a cui vogliamo registrarci
Il principio cardine del sistema risiede nel fatto che è possibile codificare un messaggio usando la chiave pubblica, e questo messaggio può essere decodificato solo ed esclusivamente dalla chiave privata che ha generato la corrispettiva chiave pubblica.
Il meccanismo funziona nel modo seguente: supponiamo che A voglia accedere al sito web di cui B è responsabile, e debba quindi registrarsi. I passaggi sono i seguenti:
A genera una coppia di chiavi, una privata ed una pubblica. E manda solamente quella pubblica a B, con la richiesta di registrazione.
A questo punto B utilizzando la chiave pubblica genera un messaggio cifrato (protetto cioè dalla chiave pubblica) e lo invia ad A, che ricordiamo sarà l’unico in grado di aprirlo dato che è il possessore della chiave privata.
A usa la chiave privata per leggere il messaggio e invia il contenuto del messaggio (in modo protetto) a B.
B verifica che il contenuto restituito sia corretto, ed in caso affermativo garantisce ad A la registrazione.
La prossima volta che A vorrà autenticarsi a B, dirà semplicemente “ehi sono A”, B controllerà a questo punto che A sia salvato sul sistema, e in caso affermativo manderà ad A un nuovo messaggio cifrato con la chiave pubblica associata ad A, che ripetiamo, solo lui sarà in grado di leggere e quindi di avere garantito l’accesso.
Tutto questo meccanismo garantisce una sicurezza molto maggiore rispetto agli standard attuali, dato che un eventuale malintenzionato non potrebbe fare nulla anche nel caso in cui entrasse in possesso della chiave pubblica. Questo perché se anche riuscisse a farci credere di stare accedendo al sito / app / servizio originale, noi non andremmo comunque a condividere la nostra chiave privata in alcun modo, e quindi non essendo in possesso di essa, che è appunto l’unico modo per accedere, non potrebbe fare alcun danno.
Quando arriverà?
L’accesso password esiste già da anni su diversi sistemi e servizi, perlopiù di ambito professionale. A livello consumer bisognava come detto aspettare uno standard comune a tutti i dispositivi. Pian piano nei prossimi mesi si diffonderà sui vari prodotti, Apple ad esempio dopo averlo annunciato in primavera alla sue conferenza dedicata agli sviluppatori, la WWDC, lo ha reso disponibile a partire dall’ultimo aggiornamento per i suoi dispositivi, nel corso del mese di Settembre. Riguardo gli altri grandi nomi, come Google o Microsoft, probabilmente sarà svelato a breve nella prossima versione di Android, mentre Microsoft ha già sviluppato la tecnologia, e starebbe cercando un modo di renderla interoperabile per la miriade di dispositivi che costituiscono ad oggi l’ecosistema Windows.
Ovviamente resta il fatto che sebbene questo meccanismo sia sensibilmente più sicuro e anche semplice, non è impenetrabile, le minacce informatiche sono molteplici ed i tipi di attacchi evolvono costantemente, quindi è sempre bene stare molto attenti alla sicurezza online, sebbene grazie a questo nuovo standard nel prossimo futuro potremmo dormire sonni più tranquilli.