Password, autenticazione a due fattori e biometrica
Computer, caselle e-mail, programmi, Cloud e Bancomat: i nostri dati personali sono ovunque nella Rete ormai e proteggerli è fondamentale. Per accedere in sicurezza a queste risorse si imposta spesso una password o, meglio ancora, una 2FA, cioè una autenticazione a due fattori. Ma gli hacker non stanno certo a guardare. Alcune delle aziende Tech più grandi al mondo (Apple, Google e Microsoft) dunque si associano per rendere disponibile uno standard di autenticazione che non preveda l’uso di password. Partiamo dall’inizio e facciamo il punto della situazione.
Che cos’è una password e come impostarne una che sia sicura
Una password, o chiave d’accesso in italiano, è una sequenza alfanumerica e/o di simboli utilizzata per accedere in modo esclusivo a una risorsa informatica. Per impedire la violazione del proprio account è importante che questa sia complessa. Evidentemente, però, non la pensano così 23 milioni di persone nel mondo che utilizzano ancora la sequenza 123456 (ricerca del Centro Nazionale Cybersecurity del regno Unito).
Come creare dunque una password efficace? Vediamo alcune regole base.
- Più è lunga e più è sicura;
- deve essere complessa, cioè prevedere l’uso sia di numeri e lettere, sia minuscole che maiuscole, e poi caratteri speciali.
- bisogna poi preoccuparsi di cambiarla regolarmente e di non utilizzare sempre la stessa per tanti servizi. Appuntarsela su un foglio di carta è rischioso, perché può andare persa;
- infine, l’utilizzo dell’autenticazione a due fattori è consigliabile. E a proposito della 2FA: è davvero sicura?
L’autenticazione a due fattori è più sicura della sola password. O meglio, lo era…
Da qualche tempo, per proteggere meglio i nostri dati dai malintenzionati, è stata introdotta la cosiddetta 2FA – Two factor Authentication con cui tutti abbiamo spesso a che fare (per gli home banking è obbligatoria). Si pensava che finora potesse bastare per evitare la violazione dei nostri account, ma il problema è che non è così. Un gruppo di ricercatori informatici italiani ha dimostrato il funzionamento di un attacco noto come Browser-in-the-middle (BitM) che consente proprio di aggirare la 2FA, tanto che David Gubiani, direttore EMEA di Check Point Software Technologies Ltd., ha dichiarato che si tratta di uno degli attacchi più preoccupanti in ambito cybersecurity. L’attacco viene condotto tramite tecniche di pishing e il consiglio è sempre quello di prestare massima attenzione alla ricezione di e-mail e sms sospetti.
Ma allora come fanno le Big Tech a pensare di eliminare le password?
FIDO – Fast Identity Online – così si chiama il consorzio di aziende americane che ha l’obiettivo di creare un sistema di autenticazione senza password. Apple, Google e Microsoft hanno già aderito e stanno lavorando per creare uno standard che possa funzionare su tutti i sistemi operativi a partire dai dispositivi mobili, con una combinazione di chiavi di sicurezza private e pubbliche. In questo modo, in un futuro non troppo lontano sarà possibile accedere a un sito o a un app semplicemente sbloccando il proprio smartphone, senza usare password. Questo perché il device memorizzerà una credenziale FIDO utilizzata per “aprire” l’account online. Questo metodo, assicurano gli esperti, renderà il sistema di autenticazione molto più sicuro.
Gli ultimi sviluppi: la biometrica
Mentre aspettiamo che la tecnologia senza password venga implementata, abbiamo già a disposizione la biometrica: riconoscimento delle impronte digitali e del viso, e poi ancora dell’iride e della voce sono già realtà anche se ancora da migliorare. Molti esperti, tuttavia, affermano che sarà proprio la biometrica a farci superare l’uso delle password, sia semplici che strong authentication. Nel frattempo, prestiamo sempre attenzione ai tentativi di frode informatiche via sms ed email.
A cura di
Carlo Stefanoni
FONTI:
CREDITS: