di Luca Bolognini
Un unico dito per dominare tutte le password. Apple, Microsoft e Google vogliono darci il potere del Signore (digitale) degli anelli. Le tre big si sono infatti unite nel titanico sforzo di eliminare quasi del tutto le assurde combinazioni di numeri, lettere e simboli che ci permettono di accedere a social, app e servizi sul web. Questo significa che entro il prossimo anno, secondo i piani dei colossi Usa, l’autenticazione senza password potrebbe essere una realtà su tutti i pc e smartphone che utilizzano i sistemi iOS (Apple), Android (Google) e Windows (Microsoft).
COME FUNZIONA
Ma questo cosa significa concretamente? Agli utenti verrà data la possibilità di scegliere il proprio telefono come dispositivo di autenticazione principale. Sarà quindi sufficiente sbloccare lo smartphone (digitando il codice Pin, disegnando una linea sullo schermo o utilizzando l’impronta digitale) per accedere ad app e servizi web (come negozi online o siti di streaming) senza la necessità di inserire altre password. Il tutto grazie all’uso di un token crittografico univoco chiamato ‘passkey’, che viene condiviso tra il telefono e il sito Internet che stiamo visitando.
LA FILOSOFIA
"Così come disegniamo i nostri prodotti in modo che siano intuitivi e intelligenti, li progettiamo anche – spiega Kurt Knight, direttore senior del marketing di Apple – per essere sicuri e garantire più privacy. Lavorare tutti assieme per creare nuovi metodi di accesso che offrano una migliore protezione ed eliminino le vulnerabilità delle password è fondamentale".
PIÙ SICUREZZA
Accedere al web utilizzando il proprio smartphone dovrebbe infatti essere più semplice e a prova di malintenzionati. Senza password non dovremo più ricordare centinaia di chiavi di accesso, eliminando di fatto il rischio che si crea quando per pigrizia utilizziamo la stessa identica chiave d’accesso per tutti i servizi a cui siamo abbonati o inseriamo codici degni di Balle Spaziali, come ‘123456’ che secondo l’ultimo studio di NordPass è la prima scelta di oltre 103 milioni di persone in tutto il mondo.
I LATI OSCURI
La liberazione dalla schiavitù delle password, ovviamente, sarà parziale: solo se utilizzeremo i sistemi o i browser di Apple, Google e Microsoft potremo spezzare le catene. Siccome i tre player dominano di fatto il mercato, gli utenti tagliati totalmente fuori dal servizio saranno in realtà davvero pochi. E per quasi tutti sarà una scelta consapevole. Anche perché diversi critici vedono nel sistema un modo per legare ancora di più gli utenti alle aziende che già la fanno da padrone. "Con le passkey generate dallo smartphone si potrà accedere a un’app o a un servizio su quasi tutti i dispositivi, indipendentemente dalla piattaforma o dal browser che si sta usando. Per capirci, gli utenti potranno accedere su un browser Google Chrome in esecuzione su Microsoft Windows, utilizzando una passkey su un dispositivo Apple", fa notare Vasu Jakkal, vicepresidente Microsoft alla sicurezza e privacy.
LA SVOLTA CLOUD
La possibilità di usare più piattaforme contemporaneamente è resa possibile da uno standard chiamato Fido, che utilizza i principi della crittografia a chiave pubblica per abilitare l’autenticazione. E se si perde il telefono? Nessun problema, le passkey potranno facilmente essere sincronizzate su un nuovo dispositivo grazie al salvataggio dei dati (backup) che avviene sul cloud (i server che memorizzano in remoto i nostri dati).
PHISHING NEL MIRINO
Molte applicazioni già oggi sfruttano Fido, ma per utilizzarlo è sempre prima necessario inserire una password. Il nuovo sistema sviluppato da Apple, Google e Microsoft renderà così di fatto praticamente invulnerabili gli utenti da attacchi di phishing che mirano a intercettare le combinazioni segrete o a rubarle. "I siti web, per la prima volta, potranno offrire ai propri utenti un’esperienza senza combinazioni segrete. Il futuro di una Internet senza password è vicino", spiega Sampath Srinivas presidente della Fido Alliance.
LE TEMPISITCHE
Per ora una precisa roadmap non è stata ancora tracciata, ma le tre big della Silicon Valley puntano a rendere disponibile il servizio tra il 2022 e il 2023. E se il fabbro Celebrimbor, creato dalla fantasia di Tolkien, ci ha messo una vita di sforzi per creare l’anello in grado di dominare tutti gli altri, dodici-diciotto mesi sono ben poca cosa per sbarazzarci (quasi) per sempre delle password.