Il futuro è passwordless

Ad esempio, la Fast Identity Online Alliance (FIDO) ha lavorato, per più di dieci anni, alla creazione di un sistema dove agli utenti è permesso effettuare il login ai propri profili online semplicemente utilizzando il sistema di sblocco dei loro smartphone o computer. In tale maniera, la password non deve essere inviata tramite reti suscettibili di interferenze esterne e gli utenti possono accedere ai loro dati tramite un’iterazione tra una “key” pubblica, ed una privata, che non può essere rimossa dal loro dispositivo. Sebbene questo sistema non sia completamente immune dagli attacchi, aggiunge diversi layer che devono essere oltrepassati perchè il tentativo d’hackeraggio vada a buon fine.

L’autenticazione passwordless indica tutti quei sistemi di sicurezza che permettono d’accedere ad un software o a un’applicazione senza l’utilizzo di password. Si differenzia dall’autenticazione a fattori multipli perché quest’ultima richiede comunque la presenza di una password che venga poi integrata con altri sistemi d’identificazione. 

Alcuni esempi di autenticazione senza password includono chiavi di sicurezza fisiche, app specializzate, magic link, e-mail o l’utilizzo di dati biometrici. Le soluzioni di autenticazione senza password variano in termini di funzionalità e implementazione, ma tutte consentono agli utenti di accedere senza creare o memorizzare una password statica.

Grazie all’eliminazione di una password vulnerabile agli attacchi dal processo di accesso, si riduce l’attrito, aumenta la sicurezza e si fornisce una migliore esperienza utente tramite un processo più agile d’autenticazione.

La vulnerabilità delle password deriva da vari fattori, il primo dei quali è l’oggettiva difficoltà di ricordarne un numero elevato. Questo porta l’utente a creare una moltitudine di password estremamente semplici e a riusarle per molteplici siti. Attacchi anche semplici come il brute force o lo stuffing sono già sufficienti in genere per scoprire queste password. A volte siamo noi stessi a fornire le password agli hackers, quando siamo sotto attacco tramite phishing. Il problema è stato in parte risolto permettendo ai siti di suggerire password complicate e alfanumeriche (lettere maiuscole, caratteri speciali etc) che rendano le password lunghe e difficilmente intuibili. Purtroppo, sebbene questo metodo renda più sicure le password, spesso non è utilizzato per pigrizia, o come detto prima per l’intrinseca difficoltà di memorizzare queste password. In genere, è anche pericoloso appuntarsi le password stesse, in quanto il supporto dove le appuntiamo può essere smarrito o sottratto. 

L’autenticazione senza password viene utilizzata sia in applicazioni commerciali che industriali. Ad esempio, alcune aziende utilizzano chiavi di sicurezza fisiche per proteggere le risorse digitali vulnerabili e i clienti di alcuni commercianti online possono utilizzare la propria impronta digitale per confermare un acquisto sui propri dispositivi mobili. Tuttavia, l’autenticazione senza password non si limita a questi metodi o casi d’uso: include un’ampia gamma di implementazioni con diversi set di funzionalità e vantaggi.

Secondo quanto indicato dalla società Gartner, presto più del 60% delle imprese globali e il 90% del PMI implementerà strategie passwordless entro il 2022 per proteggere i dati propri e dei propri clienti. Le tecniche passwordless non sono una novità. S’erano già cominciate a diffondere nel 2012, ma sono rese sempre più necessarie dall’intrinseca debolezza agli attacchi delle password e dall’evolversi di questi attacchi stessi nel corso del tempo, senza contare quanto le password stesse siano facili da dimenticare. Stando al rapporto annuale di Verizon sulle violazioni dei dati informatici, l’80% di questi è ancora causato da password insicure e credenziali deboli.

Si presentano dei vantaggi anche dal punto di vista della UX: il creare e gestire le password, o il loro recupero, anche quando gestito tramite app di gestione password, è laborioso e induce ansia in molti utenti, specialmente quelli con difficoltà cognitive. Un sistema passwordless risulta molto più semplice da gestire,  e così gli utenti possono fare affidamento su comodi meccanismi di accesso come notifiche push e riconoscimento facciale per semplificare le transazioni.

Alcuni metodi alternativi all’uso esclusivo di password per l’autenticazione sono:

MFA (Multiple Factor Authentication), come indica il nome, permettono l’accesso ai propri dati solo se più fattori vengono autenticati in maniera indipendente.

SSO (Single Sign-On), ovvero codici forniti all’utente e che scadono una volta utilizzati.

Rilevazioni biometriche, che avvengono tramite la lettura di alcune caratteristiche fisiche dell’utente, quali impronta del dito o fisionomia del volto.

Le prime due sfruttano il fattore di proprietà, ovvero qualcosa che il cliente ha, quali un telefono cellulare per ricevere i messaggi, o un hardware token; le terze invece si rifanno a qualcosa che l’utente è.

Nonostante tutto, anche queste tecniche presentano delle criticità, in quanto i supporti hardware possono essere sottratti ai legittimi proprietari e gli account dove si ricevono le SSO piratati. Una critica che viene poi mossa molto spesso all’MFA è che ha tempi a volte troppo lunghi, che mal si addicono a un ambiente business; non solo, a volte i messaggi con i pin o altri identificatori proprio non pervengono, rendendo il processo ancora più laborioso quando l’identificatore viene smarrito o scade senza essere utilizzato, senza contare che le password smarrite potrebbero venire intercettate da malintenzionati.

La biometria, poi, è anch’essa facilmente piratabile se qualcuno riuscisse a copiare i nostri dati biometrici (esperimenti condotti hanno dimostrato che copiare o simulare dati biometrici è meno difficile di quanto si pensi). Non solo, visto che i dati biometrici non sono resettabili, eventuali errori o usi impropri degli stessi non potrebbero essere corretti.

Sebbene queste critiche abbiano tutte un valido fondamento, tutti riconoscono però i vantaggi della transizione verso il mondo passwordless. Certo si avrà ancora bisogno di molto tempo per perfezionare i sistemi di autenticazione alternativi, e molto lavoro ci sarà da fare per ovviare alla continua evoluzione degli attacchi hacker, tipo implementando la Adaptive MFA (L’autenticazione a più fattori adattiva o aMFA è essenzialmente una versione “più smart” di MFA che richiede agli utenti la verifica dei fattori solo se accade qualcosa di sospetto).

Non poteva mancare in tutto ciò anche il contributo dato dalla tecnologia blockchain. Nello specifico, un’app di Ethereum chiamata Proof of Humanity (PoH), che permetterà di salvare i propri dati sulla blockchain, creando un’identità virtuale certificata. In tale modo, chi si registra tramite PoH potrà accedere a servizi online senza dover dimostrare ogni volta di non essere un bot. Il procedimento per ottenere tale certificazione è più complesso rispetto al normale, infatti richiede di connettersi con il proprio wallet Ethereum e superare diversi step che aumentano via via di complessità. In più, il profilo sarà sempre sotto scrutinio da parte di chi ha già ottenuto la certificazione d’identità e che hanno il compito di segnalare eventuali profili sospetti e confermare quelli in regola. La proliferazione di profili falsi è anche scoraggiata dalla necessità di pagare una piccola cauzione che verrà restituita alla fine del processo. Nonostante tutti questi passaggi che dovrebbero renderla iper sicura, Proof of Humanity non è completamente esente da possibili manipolazioni, infatti esiste la possibilità che qualcuno possa costringere o pagare qualcuno, organizzare una compravendita di dati per la creazione di profili “prestanome” da usare per scopi illeciti. Inoltre, attualmente il registro non è anonimo, ma è possibile in linea teorica criptare i dati di ogni profilo attraverso protocolli di privacy già utilizzati da varie blockchain.