Il superamento della password come sfida per il futuro

Web Agency Roma
Blog PrestaShop e Tutorial Ecommerce
ecommerce, normative, commercio online, sito web

Tra le sfide future più avvincenti che il comparto IT sarà chiamato ad affrontare, una menzione speciale la meritano di certo il superamento della password e del captcha. Basti pensare che negli ultimi tempi, una consolidata multinazionale IT del calibro di Microsoft ha cercato con Windows 11 di bypassare il ricorso alla password per permettere agli utenti di autenticarsi. Allo stato attuale delle cose, il principale ostacolo è costituito dal fatto che gli utenti quotidianamente sono chiamati ad effettuare numerosi login: tra diversi account di posta elettronica, utilizzo dei social network, accesso al conto bancario o ad altri strumenti finanziari, servizi online e via dicendo, ci sono numerose password da tenere a mente. Il problema è che la memoria è labile e si tende a scegliere password relativamente semplici, e di conseguenza poco sicure. Altre volte, invece, si utilizza una sola password per accedere a più servizi, onde evitare di perdere troppo tempo in ognuno dei login.

L'autentificazione a due fattori

L'autentificazione a due fattori, purtroppo, non ha sortito l'effetto desiderato: teoricamente, doveva aumentare il livello generale di sicurezza, ma in concreto ha dato luogo a diverse difficoltà in fase di accesso. Risultato? Tempi maggiori per accedere ai servizi di turno. Ragion per cui, negli anni venturi, l'accessi ai servizi di riferimento dovrà essere ancora più semplice: i sistemi passwordless dovranno, di fatto, rendere anche più sicuro l'accesso.

Superare la password : tra tentativi passati andati a male e sfide future

L'intenzione di voler andare oltre al concetto di password è già evidente da diversi anni, visto che sono stati fatti più volte tentativi in questo senso: come l'invio di e-mail con link di autenticazione che risultava poco affidabile, molte email vengono di fatto bloccate dai provider e non arrivano a destinazione, questo ha contribuito a ritardare l'avvento di un sistema passwordless per il cui funzionamento, però, non dovrebbero esservi servizi esterni. Per la salvaguardia della privacy di chi naviga sul web, al momento il ricorso a una password forte, costituita da caratteri (in maiuscolo e in minuscolo), numeri e simboli speciali rappresenta la scelta più saggia, anche se lo scotto principale risiede nel fatto che è difficile da ricordare. Tuttavia, andare oltre, si può. Le soluzioni passwordless, tecnologie non propriamente recenti, costituiscono un esempio particolarmente calzante al riguardo.

Autentificazione passwordless : ecco spiegato in sintesi il funzionamento

Per quanto riguarda la logica di funzionamento dell''autentificazione passwordless, è bene partire dall'assunto che sono due gli elementi determinanti ai fini dell'esito positivo del processo: da un lato, vi è una componente pubblica, incentrata su sistemi che consentono l'accesso al servizio dove ci si vuole autenticare. La password in questo caso viene fornita durante la registrazione, in genere insieme ad un username; dall'altro, invece, vi è l'elemento privato, dove per portare a termine il processo di autenticazione, occorre tassativamente un dispositivo fisico che viene consegnato all'utente.

Classico esempio è quello del token hardware, in grado di generare codici temporanei, oppure del lettore delle impronte digitali del diretto interessato. Stesso discorso per il riconoscimento vocale o per la scansione della retina mediante smartphone. L'identificazione dell'utente, di fatto, viene eseguita tenendo conto di tratti univoci. Negli anni futuri, il diretto interessato potrà autenticarsi, inserendo la componente pubblica all'interno della pagina web del servizio a cui desidera accedere. Solo in seguito, potrà ultimare le operazioni, fornendo la componente privata al servizio remoto. Un classico esempio ruoterà attorno al ricorso dello smartphone su cui verrà inviato un messaggio di notifica con la richiesta di conferma, necessaria per autenticarsi. Analogamente, un altro esempio sarà quello dell'impiego di apposite mobile app con cui generare un codice temporaneo da digitare nella pagina web di riferimento.

Quali sono i reali vantaggi di un sistema passwordless?

Optare per sistema passwordless, vuol dire poter usufruire di svariati vantaggi. In primo luogo, le credenziali di accesso dei vari utenti di un servizio non finiscono nelle mani dei malintenzionati, a fronte di possibili violazioni del sistema.

Altro aspetto positivo per il diretto interessato risiede nel fatto che non è tenuto a ricordare mnemonicamente le password. Anche le organizzazioni si avvantaggiano considerevolmente nel momento in cui decidono di adottare un sistema passwordless: il problema di furti e perdite di dati sensibili viene drasticamente ridotto. I carichi di lavoro su questo tema tendono a diminuire in modo evidente. In questo modo, aumenta la produttività.

Il caso Microsoft

Come già anticipato, anche una multinazionale come Microsoft sta continuando a investire in modo sempre maggiore nel mondo passwordless. L'intento di fondo, infatti, consiste nel garantire all'utente maggiori opportunità di loggarsi, anche con il solo smartphone, dispositivo che tra le altre cose ne consente l'identificazione personale.

Con Windows 10, il Colosso di Redmond aveva iniziato a integrare nuove tecnologie a supporto delle soluzioni password, fornendo all'utente tutta una serie di app che doveva semplicemente installare sul suo terminale. In questo modo, venivano sfruttate appieno tutte le opportunità messe a disposizione da TMP, una valida piattaforma in grado di gestire al meglio la crittografia per proteggere in maniera efficiente informazioni e dati sensibili. Pertanto, grazie alle tecnologie passwordless, l'accesso si dimostra maggiormente sicuro e semplificato. Nel caso delle imprese, vi sono partner affidabili, in grado di mettere a disposizione software a tema particolarmente efficienti.

Cosa dire in riferimento ai CAPTCHA?

Un aspetto molto importante risulta strettamente connesso all'universo dei CAPTCHA, vale a dire quei meccanismi, fondamentali per verificare che ci accede a un dato servizio non è un bot, ma una persona fisica. Basato sulla risoluzione di un quiz, sul riconoscimento di foto o sull'inserimento di numeri, oggigiorno i CAPTCHA sono sempre più in uso. Tuttavia, molti tra coloro che navigano online, li considerano una seccatura a tutti gli effetti, in quanto fanno perdere tempo nell'accesso a un servizio.

Come aggirare i CAPTCHA? Cloudflare propone una valida soluzione

Gli addetti ai lavori mettono in evidenza come la risoluzione dei CAPTCHA non è affatto facile, al punto che per aggirarli, ogni giorno occorrerebbe perdere un lasso di tempo pari a 500 anni. Naturalmente, tenendo conto della totalità degli utenti che se li ritrovano dinanzi.

Per bypassare il problema, Cloudflare ha avuto una brillante idea: sostituirli con le chiavette FIDO2, fondamentali per permettere alle persone fisiche di non essere bot. Il bello è che la privacy di questi utenti è tutelata, visto che non sono tenuti a rivelare la loro identità. All'interno della chiavetta FIDO2 è incorporato un apposito modulo di sicurezza, contenente un segreto univoco, firmato dal produttore del dispositivo.

Lo scopo di questo modulo è quello di dimostrare che quel determinato utente è il possessore di quell'apposito segreto, senza però che quest'ultimo venga rivelato. Come alternativa ai CAPTCHA, il sistema messo a punto da Cloudflare richiederà ancora del tempo per essere messo sul mercato. Tuttavia, i presupposti per aggirare i CAPTCHA iniziano ad avere solide radici. Tra qualche anno, verranno raccolti i frutti di questo lavoro.

Autore: Loris Modena