Già sentire che Apple, Google e Microsoft si alleano per fare
qualcosa insieme fa notizia. Se poi l’alleanza in questione ha lo scopo
di abolire definitivamente le password, la notizia diventa quasi incredibile.
Ma stavolta pare proprio che si faccia sul serio e che ci si possa preparare
alla scomparsa delle password, che verranno sostituite da un sistema semplice e universale
chiamato FIDO. Provo a raccontarvi come funzionerà e come un sistema
più semplice possa essere più sicuro di quello complicato attuale.
Ci sono tre modi fondamentali per autenticarsi informaticamente: qualcosa che sai (per esempio una password o un PIN), qualcosa che hai (un dispositivo, tipo una tessera o smart card) e qualcosa che sei (un’impronta digitale oppure un altro dato biometrico, come per esempio il volto).
Proteggere i propri dati e i propri account usando soltanto il “qualcosa che sai”, ossia le password, come facciamo oggi, è scomodo, macchinoso e profondamente
insicuro. Molti utenti cercano di ridurre questa scomodità utilizzando password
facili da ricordare (e quindi facili da indovinare per i ladri) e adoperando
la stessa password dappertutto, col rischio di vedersi rubare tutti gli
account in caso di furto di quella singola password.
Alcuni utenti usano l’autenticazione a due fattori: per collegarsi a un
account su un dispositivo nuovo devono digitare non solo la password ma anche
un codice usa e getta, ricevuto tramite mail o SMS o generato da un’app sullo
smartphone. Questo migliora parecchio la sicurezza, perché il ladro deve scoprire la password e anche intercettare questo codice usa e getta: deve insomma scoprire il “qualcosa che sai” e impossessarsi fisicamente di un “qualcosa che hai” (ossia lo smartphone della vittima sul quale arriva il codice). Ma questo sistema è macchinoso,
richiede che l’utente si ricordi la password e digiti anche un codice distinto
per ciascun servizio, e comunque i ladri informatici di oggi sanno creare
trappole
per carpire anche questi dati.
Microsoft, Google e Apple propongono invece, tramite il sistema FIDO, di
lasciar perdere le password e i codici da digitare manualmente e di usare al
loro posto una chiave digitale unica, valida per tutte e tre queste aziende e
probabilmente anche per molti altri fornitori di servizi che si accoderanno a
questa alleanza di giganti informatici. Questa chiave è un codice
crittografico estremamente complesso che viene conservato sullo smartphone,
sul tablet o sul computer dell’utente (o anche su tutti questi dispositivi
contemporaneamente) e, volendo, viene conservato anche su Internet, e che l’utente
non ha mai bisogno di digitarlo. FIDO è un sistema di sicurezza
completamente passwordless, ossia senza password.
In pratica, se voglio accedere a un mio account, mi basta il “qualcosa che sei”, per esempio il sensore
d’impronta o il riconoscimento facciale del mio dispositivo. Tutto qui. Il
volto o l’impronta non vengono trasmessi via Internet: restano nel
dispositivo.
Se cambio o perdo il mio dispositivo, posso recuperare questa chiave usando un
altro dispositivo già autenticato sul quale ho già la medesima chiave. Anche
qui, niente password di recupero. Il sistema FIDO resiste ai furti perché non
posso essere indotto con l’inganno a digitare password o codici nel sito dei
truffatori, visto che non ho nulla da digitare.
Inoltre quando accedo a un sito usando un nuovo dispositivo, il mio smartphone
o altro dispositivo che contiene la mia chiave deve essere fisicamente nelle
immediate vicinanze di quel nuovo dispositivo mentre lo autorizzo. Questa vicinanza viene verificata tramite una trasmissione
Bluetooth. E così se voglio, per esempio, leggere la mia posta di Gmail sul
computer di qualcun altro, devo solo visitare Gmail con quel computer,
scrivere il mio indirizzo di mail e poi toccare il sensore d’impronta o
guardare la telecamera del mio smartphone per autenticarmi.
Il controllo di vicinanza tramite Bluetooth impedisce a un ladro remoto di
entrare nel mio account convincendomi con l’astuzia a confermare il suo accesso sul
mio smartphone, e durante questo scambio di dati via Bluetooth il mio telefonino verifica anche che il computer si stia collegando al sito vero e non a un
sito truffaldino che gli somiglia nel nome e nella grafica. In caso di furto
del telefonino, il ladro dovrebbe riuscire a scavalcare il sensore d’impronta
o il riconoscimento facciale per poter tentare di usare la chiave.
Tutto questo dovrebbe funzionare con qualunque sistema operativo (Windows, iOS, Android o
altri), con qualunque browser moderno e con qualunque dispositivo recente.
Troppo semplice per essere sicuro? Troppo bello per essere vero? Lo
scopriremo presto. La FIDO Alliance, che coordina lo sviluppo di questo
sistema e include anche Intel, Qualcomm, Amazon e Meta oltre a banche e
gestori di carte di credito, prevede che FIDO comincerà ad entrare in funzione
entro la fine del 2022. In Giappone, già circa
30 milioni di utenti Yahoo
sono già passwordless.
È vero che si sente parlare di eliminazione delle password da almeno un
decennio, ma la collaborazione di Apple, Google e Microsoft e il fatto che con il sistema FIDO tutto il
necessario è già nelle mani di alcuni miliardi di utenti, che non devono comprare dispositivi appositi, potrebbero fare davvero la
differenza.
Maggiori dettagli sul sistema FIDO sono reperibili sul sito
Fidoalliance.org, nel
blog ufficiale
di Google
e sul
sito
di Microsoft.
Fonte aggiuntiva:
Ars Technica.