FIDO: DIMENTICA LE TUE PASSWORD

Il problema delle parole chiave è talmente riconosciuto che ogni anno, nel mese di maggio, si svolge addirittura la Giornata mondiale delle password. Potrei indicarti come trovarne di buone o alcune strategie per evitare di dimenticarle. Potrei anche spiegarti come utilizzare quelle app che le gestiscono e che le generano ma non lo farò perché internet è pieno di articoli che ne parlano già. Fai si che sia almeno di otto caratteri con lettere (almeno una maiuscola), numeri e un simbolo (%*$).

Quello che mi preme ricordarti è che la cosiddetta autenticazione a due fattori è molto meglio di qualsiasi password, non importa quanto complessa, perché tiene conto di un secondo fattore al momento dell’accesso. L’invio di un SMS al tuo cellulare o la richiesta di un codice di verifica su di una app specifica garantiscono in maniera migliore che sia effettivamente tu a provare ad accedere al sito o all’applicazione. Autenticazione a due fattori che consiglio calorosamente anche per accedere a Facebook o Instagram perché troppe volte ho letto di persone disperate perché il loro profilo o la pagina che gestiscono è stata hackerata e ne hanno perso il possesso.

La necessità di una password sufficientemente complessa o l’utilizzo dell’autenticazione a due fattori viene costantemente ripetuta eppure ogni anno vengono stilati degli elenchi con le password più popolari e più deboli e “123456” figura sempre tra quelle presenti e c’è da chiedersi perché.

Devi solo guardarlo in modo realistico: le buone password sono scomode, così come i metodi di accesso sicuri.

Le password potrebbero però presto diventare obsolete se ciò che è stato creato dall'Alleanza FIDO, che raggruppa centinaia aziende tecnologiche e fornitori di servizi di tutto il mondo, tra le quali le tre grandi aziende tecnologiche, funzionasse e prendesse piede. Perché con FIDO per accedere ai servizi non avrai più bisogno di password ma unicamente di una chiave di sicurezza digitale rendendo il tutto molto più semplice e meno complicato.

Se non conosci FIDO: l'abbreviazione è stata per Fast Identity Online per un buon decennio. Dietro ci sono diverse centinaia di aziende e organizzazioni che stanno sviluppando insieme standard per l'accesso sicuro senza password a servizi e app online. Oltre ad Apple, Google e Microsoft che hanno svolto un ruolo di primo piano figurano Visa, MasterCard, Huawei e Netflix come pure alcuni uffici statali, tra i quali ad esempio l'Ufficio federale tedesco per la sicurezza delle informazioni (BSI). 

Cosa rende FIDO così speciale: invece di utilizzare password e fattori secondari che possono essere rubati o dirottati dai criminali, utilizza metodi crittografici per proteggere i dati di accesso degli utenti. La base è composta da una chiave master crittografica sulla base della quale viene in seguito generata una chiave separata per ogni servizio, app e sito Web. La chiave master può essere memorizzata, ad esempio, su un dongle USB o in un'area di memoria sicura di uno smartphone.

Una seconda chiave pubblica viene poi generata per ogni sito Web e ogni app a cui accedi con FIDO. Il login risulta quindi possibile solo se entrambe le chiavi corrispondono.

Con FIDO i criminali potranno anche rubare i dati di accesso da un sito web ma senza la chiave privata dell’utente le chiavi pubbliche recuperate non avranno alcun valore. Anche i tentativi di phishing non porteranno a nulla. Se con un’e-mail falsa l’utente viene attirato verso un sito altrettanto falso per cercare di carpirne i dati di accesso il sistema FIDO genererà una nuova chiave pubblica per questo nuovo accesso. Ciò facendo i criminali riuscirebbero ad avere accesso al loro stesso sito truffaldino ma non a quello originale che rimane ben protetto.

Finora il sistema FIDO è conosciuto soprattutto per i dongle USB con sensori di impronte digitali. Potresti utilizzarlo, ad esempio, per accedere al tuo account di posta elettronica aziendale identificandoti con la tua impronta digitale. 

La necessità di utilizzare un dongle USB ha fatto però si che FIDO, finora, sia stato utilizzato principalmente da grandi aziende i cui reparti IT si sono occupati di equipaggiare i dispositivi dei dipendenti. La tecnologia è comunque già integrata anche nei browser come Chrome ed Edge e nei sistemi operativi come Windows, Android, iOS e MacOS. Il fatto che FIDO, per il momento, non abbia preso piede tra i privati ​​è principalmente dovuto alla sua facilità d'uso - o meglio alla sua mancanza - afferma Andrew Shikiar, Direttore Esecutivo di FIDO Alliance.

Fino ad ora infatti era necessaria una chiavetta USB oppure ogni singolo dispositivo con cui ci voleva accedere ad un servizio doveva essere di nuovo registrato sullo stesso. In futuro, tuttavia, dovresti essere in grado di accedere ai tuoi dati di accesso FIDO da diversi dispositivi tramite il cloud. Un backup della chiave privata verrebbe archiviato nel cloud in modo che sia possibile accedervi da altri dispositivi, spiega Shikiar.

La seconda innovazione è che potrai utilizzare il tuo smartphone per accedere a siti Web e servizi. È sufficiente che il telefono cellulare sia vicino al dispositivo che stai attualmente utilizzando, afferma Shikiar. Quale browser o quale sistema operativo utilizzi è irrilevante. È importante solo che i dispositivi siano collegati tramite Bluetooth. Lo smartphone funge quindi da vettore chiave, con il quale puoi identificarti biometricamente come legittimo utente.

Indipendentemente da quale di questi metodi utilizzi, in futuro non avrai più bisogno di password, almeno non per i servizi che supportano FIDO. 

La tecnologia FIDO è già utilizzata da molte aziende, ma ci vorrà ancora del tempo, si stima circa 18 mesi, prima che Apple, Google e Microsoft integrino le nuove funzioni nei loro sistemi operativi e servizi cloud.