Come spesso vediamo nei nostri articoli dedicati alla sicurezza online le password sono uno degli elementi più critici quando si tratta di attacchi. Per questo motivo, già da tempo, tre major del mondo digital come Google, Apple e Microsoft si sono dette intenzionate a superare le password per passare a nuovi sistemi di autenticazione più sicuri.
Certamente un sistema ponderato di gestione delle password potrà continuare ad essere una strategia efficace per la prevenzione delle minacce, ma di per sé le chiavi d’accesso hanno il grande difetto della vulnerabilità agli attacchi. Poniamo come esempio i brute force, che con reiterati tentativi da parte di un bot talvolta riescono ad entrare nei portali delle vittime. Sebbene queste minacce siano limitabili inserendo un numero basso di tentativi d’accesso consecutivi, molti utenti utilizzano password poco forti anche su sistemi sensibili.
Un’altra cattiva abitudine di moltissimi utenti è quella di utilizzare la stessa password per più portali diversi. Anche questo compromette moltissimo la sicurezza dando modo ai malintenzionati di rubare profili, esfiltrare dati e, se ad esempio si viola l’accesso ad una casella mail, di proseguire la catena di attacchi.
L’autenticazione senza password messa a punto da FIDO Alliance e da W3C (World Wide Web Consortium), invece, supererebbe le password dando modo a tutti di autenticarsi utilizzando i metodi attualmente in uso per sistemi come l’home banking. Pertanto, si potrebbe passare ad un utilizzo globale di riconoscimenti biometrici come volto ed impronte digitali. Le chiavi e la crittografia, utilizzando questo modus operandi, sarebbero molto più forti.
Non è tutto, perché gli sviluppatori stanno anche pensando di collegare i sistemi Bluetooth con quelli dei PC di modo da consentire gli accessi soltanto quando il device ne riconosce uno fidato nelle vicinanze. Per questa impostazione è fondamentale l’apporto di tutte le principali aziende elencate ad inizio articolo, che potranno quindi convergere ed uniformare queste feature su tutti i loro prodotti senza peculiarità o distinzioni.
In ultimo, è interessante ricordare anche che il nuovo standard sviluppato da FIDO Alliance e W3C riuscirà anche a controllare che i servizi ai quali ci si collega siano affidabili. Questo perché negli attacchi di phishing capita spesso di trovarsi davanti a maschere di login identiche a quelle dei portali ufficiali che però non sono altro che copie create per il furto di credenziali. Grazie a questo nuovo standard anche questi pericoli potrebbero sparire o comunque affievolirsi.
Fonte: 1