Che nel mondo tecnologico le password siano sempre più a rischio furto è ormai cosa nota, così come tutte le ramificazioni che questo comporta, ovvero violazione di profili personali o caselle email che possono portare a loro volta al lancio di campagne malevole. A poche ore dal World Password Day, giornata simbolica che serve a ricordare agli utenti del web l’importanza della creazione di chiavi solide per proteggersi dalle varie minacce due delle più grandi aziende del mondo IT hanno annunciato quello che verosimilmente sarà il prossimo step della protezione.
Questo perché sia Microsoft, a partire dal mese di maggio, ha deciso di dare ai propri utenti e clienti la possibilità di utilizzare le Passkey per accedere agli account personali e di lavoro. Le Passkey non sono una novità, visto che sono già utilizzatissimi per esempio per accedere ai device personali, e consistono in un sistema diverso di autenticarsi utilizzando, anziché una password, le proprie impronte digitali, il proprio volto o un codice appositamente generato per il dispositivo. Google, dal canto suo, faceva già utilizzare questo sistema ai suoi utenti da circa un anno con un discreto successo.
Tornando a Microsoft, il supporto alle passkey era attivo soltanto per gli utenti consumer con una licenza per Windows 11, mentre adesso questo sistema sarà disponibile per tutti e, più specificatamente, per tutti gli account Microsoft come 365, Copilot e quant’altro e su qualsiasi sistema operativo. Questo va in due direzioni principali: quella di eliminare gradualmente le password dal panorama mondiale in quanto portatrici di grossi pericoli e, in secondo luogo, un modo per aumentare la sicurezza dei propri prodotti visto anche un 2023 non proprio brillante in quanto ad attacchi subiti, basti pensare ai tanti problemi avuti per gli utenti di Exchange proprio con l’autenticazione a due fattori. Gli esperti fanno notare, per fare un esempio, come al lancio dei servizi Windows Hello, per la creazione di chiavi univoche, nel 2015 venissero notati “solo” poco più di 100 attacchi al secondo alle password Microsoft, mentre nel 2023 il numero era aumentato ad oltre 4000 al secondo.
A supporto della scelta di passare alle passkey, Google ha fornito col tempo una serie di dati ad un anno dalla loro introduzione. Questo sistema è stato utilizzato più di un miliardo di volte per un totale di oltre 400 milioni di profili. Nonostante tutte le procedure e gli standard a supporto della sicurezza creati e perfezionati per portare il mondo ad avere solo passkey e nessuna password da ricordare a memoria è chiaro che verrà trovato il modo, in un prossimo futuro, di bypassare anch’esse. Fino a quel momento però è importante pensare che i protocolli utilizzati per questo sistema di autenticazione sono attualmente molto più sicuri di quelli “classici”, poiché per avere accesso ad un profilo privato gli hacker dovrebbero ritrovarsi a “rubare” fisicamente parti del corpo della vittima o direttamente il device sul quale arriva il codice identificativo. Sappiamo quanto queste ultime due evenienze siano altamente improbabili per quel che riguarda ad esempio le campagne phishing, pertanto è chiaro anche quale supporto possano trovare tutti gli utenti del web.