Quest’anno la Giornata Mondiale della Password, tradizionalmente festeggiata a maggio, ha coinciso con l’uscita di una notizia che riguarda tre grandi aziende tecnologiche: Google, Microsoft e Apple hanno annunciato la progettazione di una nuova tecnologia in grado di sostituire le password.
Lo standard verrà sviluppato dalla FIDO Alliance, insieme al World Wide Web Consortium (W3C) che si occupa dell’aspetto e del funzionamento di Internet. Si tratta di un tentativo piuttosto serio di eliminare le password a favore di un’autenticazione basata su smartphone (o almeno così sembra dal punto di vista dell’utente).
Tuttavia, è importante ricordare che è da circa una decina d’anni che si parla della “morte delle password”. Tuttavia, i precedenti tentativi di eliminare questo metodo di autenticazione, decisamente inaffidabile, non hanno portato a nulla: le password sono ancora tra noi. In questo articolo vi parleremo dei vantaggi del nuovo standard elaborato dal binomio FIDO/W3C. Iniziamo però ribadendo qualcosa di ovvio: cosa c’è di sbagliato nelle password?
Il problema delle password
Il principale svantaggio delle password è che sono abbastanza facili da rubare. Agli albori di Internet, quando quasi tutte le comunicazioni digitali non erano criptate, le password venivano trasmesse in chiaro (anche detto, plain text). Con il moltiplicarsi dei punti di accesso alle reti pubbliche presenti nei bar, nelle biblioteche e sui mezzi di trasporto, l’uso delle password è diventato un problema reale: un criminale informatico poteva intercettare una password non criptata senza che nessuno se ne accorgesse.
Tuttavia, il problema delle password rubate è esploso all’inizio e a metà del 2010, dopo una serie di attacchi di alto profilo ai danni di importanti fornitori di servizi Internet, e con il furto di massa di indirizzi e-mail e password degli utenti. È probabile, infatti, che tutte le vostre password di dieci anni fa siano di dominio pubblico e stiano circolando da qualche parte su Internet. Non ci credete? Consultate l’utile servizio HaveIBeenPwned.
Al giorno d’oggi, ovviamente, è meno probabile che attraverso una fuga di dati i cybercriminali possano mettere le mani su delle password in plain text. Infatti, molti fornitori di servizi Internet sanno da tempo che immagazzinare le informazioni sensibili degli utenti in modo non criptato può solo generare problemi. Per questo motivo si sta diffondendo la pratica dell’hashing, ovvero dell’immagazzinamento delle password in forma cifrata.
Il problema è che se la password è semplice, può essere comunque estratta da un database criptato attraverso un attacco di forza bruta o un attacco a dizionario. Decifrare una password con hash quando l’originale era per esempio “segreto” o “123123” è un gioco da ragazzi. Questo è il secondo problema delle password: per facilitare la loro memorizzazione, molte persone usano password molto deboli, facili da decifrare, e su cui è facile mettere le mani (anche se criptate) nel caso si verificasse una fuga di dati da un database.
Il desiderio di semplicità e comodità ci porta direttamente al terzo problema delle password: l’utilizzo della stessa password su diversi account e servizi. Infatti, una fuga di dati da un vecchio forum online, al quale non ricordate nemmeno di esservi registrati, può comportare la perdita del vostro account di posta elettronica principale perché avete usato la stessa password.
Password più un extra
Il problema, ovviamente, è tutt’altro che nuovo: la maggior parte dei servizi non si affida più a una sola password, ma utilizza una sorta di autenticazione a più fattori. Quando si accede a un servizio Internet, ai social, ai conti bancari, ecc. di solito viene richiesto un codice monouso dopo aver inserito le proprie credenziali. Questo codice viene inviato tramite un SMS o l’app bancaria del telefono o attraverso un’app speciale per l’autenticazione multifattoriale, come Google Authenticator. I sistemi più complessi utilizzano un hardware che va inserito in una porta USB del computer o collegato allo smartphone tramite Bluetooth o NFC.
In alcuni casi, non è necessaria alcuna password. Ad esempio, quando si accede a un account Microsoft, l’utente riceve una password unica via e-mail. Di default, l’app di messaggistica Telegram utilizza un’autenticazione basata su codici monouso inviati tramite SMS, senza bisogno di una password (anche se è consigliata come misura di sicurezza aggiuntiva).
Nella maggior parte dei casi, tuttavia, le password sono ancora ampiamente utilizzate come forma di autenticazione di riserva. Ma affidarsi esclusivamente ai codici di accesso via SMS (di gran lunga la forma di autenticazione a due fattori più comune e comoda per un utente) non è una grande idea, e non lo è per una serie di motivi. In poche parole, si sa da tempo che nel futuro le password sono destinare a scomparire e, finalmente, sembra che quel futuro sia sempre più vicino.
Autenticazione senza password: ecco come è stata concepita da FIDO/W3C
Entriamo ora nel vivo della questione. Il nuovo standard di autenticazione senza password rende la password (o meglio la passkey, che è una combinazione di chiavi crittografiche, pubbliche e private) un elemento puramente tecnico che l’utente non vede più. Ciò consente l’uso di chiavi forti e uniche e di una crittografia potente. Questo, a sua volta, rende la vita più difficile ai cybercriminali e ci assicura che se un account viene hackerato, sarà l’unico, e gli hacker non potranno ottener nessun “segreto”.
Per un utente, la sensazione è quella di confermare l’accesso ai social, a un account di posta elettronica o all’online banking tramite il proprio smartphone. Sarà come fare un pagamento con lo smartphone: si sblocca il dispositivo tramite il PIN o l’autenticazione tramite il riconoscimento facciale o l’impronta digitale, e si conferma la “transazione”; la differenza è che, invece di pagare, si accede al proprio account. In questo modo, se si riesce a sbloccare il dispositivo, significa l’utente è davvero lui. Non è fantastico?
Inoltre, lo standard sviluppato da FIDO prevede una funzione aggiuntiva sotto forma di autenticazione Bluetooth su più dispositivi. Ad esempio, l’accesso al proprio account su un computer portatile è più veloce se il dispositivo “individua” nelle vicinanze uno smartphone fidato. Questo interessante sistema di autenticazione funzionerà per la grande maggioranza degli utenti, ad eccezione forse di quelli che continuano a usare un telefono con pulsanti. Nel futuro prossimo, e grazie al supporto dei tre giganti di Internet, questa funzione è destinata a diventare universale. Ma sarà un bene per la sicurezza? Analizziamo i pro e i contro della nuova tecnologia.
Autenticazione senza password: i vantaggi
Il supporto di Google, Apple e Microsoft fa pensare che tutti i principali servizi (Gmail, YouTube, iCloud, Xbox) e tutti i dispositivi iOS, Android e Windows inizieranno presto a passare all’autenticazione senza password. Poiché lo standard è unificato e libero, l’autenticazione dovrebbe funzionare in modo identico su qualsiasi dispositivo. Inoltre, i tre giganti di Internet hanno promesso che sarà possibile passare da un dispositivo all’altro. Avete cambiato il vostro iPhone con un Samsung Galaxy? Nessun problema: potete designare il nuovo smartphone come dispositivo di verifica del login.
Il vantaggio principale di questo nuovo metodo è che rende più difficile portare a termine attacchi di phishing. Il furto di password tradizionale consiste nel creare un falso sito web bancario o di altro tipo, e attirare la vittima verso quella pagina. A quel punto, l’utente inserisce le proprie credenziali di accesso (a volte si tiene conto anche dell’autenticazione a due fattori) e il gioco è fatto: l’hacker ha ottenuto l’accesso al conto in banca della vittima. Oltre ad autenticare l’utente, il nuovo standard controlla l’autenticità del servizio stesso. Inoltrare una richiesta di autenticazione su una pagina web non sarà più sufficiente e il furto di password non rappresentera più una minaccia per gli utenti.
Infine, il nuovo sistema promette di essere semplice e intuitivo. Se implementato correttamente, la sostituzione della password (anche per gli account già esistenti) dovrebbe essere molto semplice e il supporto promesso a livello di sistema operativo nei confronti degli smartphone non richiederà nemmeno l’installazione di app. Basterà andare sul sito desiderato, inserire il proprio identificatore e confermare la richiesta sullo smartphone, e voilá!
Autenticazione senza password: problemi non risolti
In teoria, non dovrebbe essere considerato un problema, ma molti si pongono sicuramente la domanda: cosa succede se qualcuno mette le mani sul mio “fidato” smartphone” e approva l’accesso a tutti i miei account? La risposta è molto semplice: in un modello di sicurezza realistico, non esistono soluzioni infrangibili. Tutto può essere hackerato; la questione è fino a che punto il malintenzionato è disposto a spingersi e quante risorse è disposto a spendere per raggiungere il suo obiettivo. Dopotutto, anche se memorizzate le vostre password casuali con 128 caratteri esclusivamente nella vostra testa, ci sono metodi affidabili per estrarle.
È inevitabile che vengano hackerati smartphone per ottenere l’accesso agli account, ma si tratterà di singoli attacchi, con l’idea di colpire obiettivi specifici e di alto profilo, una sorta di “boutique-attack”. Se prendiamo in considerazione il mercato di massa, ovvero le minacce quotidiane, il furto delle password è molto più diffuso rispetto al furto di smartphone e all’utilizzo del loro contenuto digitale. La nuova tecnologia mira a risolvere esattamente questo problema.
Vi ricordiamo inoltre che in passato c’era molto scetticismo nei confronti dell’introduzione e diffusione di massa della biometria. All’epoca, molti temevano che qualcuno potesse rubare la loro impronta digitale (nella versione più hardcore, tagliando il dito) e sbloccare il loro smartphone. Troy Hunt, creatore del già citato HaveIBeenPwned, ha scritto un intero articolo l’anno scorso su un argomento correlato: in un modello di sicurezza realistico, la biometria è più forte delle password.
Tuttavia, il problema che questa tecnologia senza password non risolve è la perdita dello smartphone. Certo, il nuovo standard consente di trasferire il sistema di autenticazione da un dispositivo all’altro. Il modo più semplice per farlo è quando si hanno due dispositivi, ad esempio, un telefono vecchio e uno nuovo. Se il vecchio telefono viene smarrito, dovrete senza dubbio utilizzare un altro metodo di backup per dimostrare che siete voi. Ma quale sia questo metodo di backup non è ancora chiaro; molto probabilmente dipenderà dalle impostazioni del servizio in questione.
In conclusione, vale la pena di chiedersi: il nuovo sistema non renderà gli utenti più dipendenti dalle funzionalità presenti negli account di Google o Apple? Il blocco di un account Google comporterà la perdita dell’accesso a tutte le risorse online in generale? Anche se supponiamo che lo standard sia aperto, i sistemi operativi degli smartphone, per non parlare delle infrastrutture, lo sono molto meno.
Un futuro luminoso
Anche uno scettico non può non ammettere che un sistema basato su una tecnologia senza password è migliore rispetto all’uso delle vecchie password. L’obsoleto concetto di password ha bisogno da tempo di una revisione. Lo standard FIDO senza password promette di mettere in ordine molte cose, ma molto dipende anche dagli sviluppatori: Google, Apple, Microsoft e altri. Se ci riusciranno, le nostre vite digitali diventeranno più facili e sicure. Ma è improbabile che ciò accada da un giorno all’altro: le password sono così radicate nell’Internet di oggi che ci vorranno molti anni per cancellarle completamente, anche con un nuovo sistema migliorato.