“Creare una password di minimo dieci caratteri, contenente almeno una maiuscola, almeno una minuscola, almeno un numero e almeno un carattere speciale tra quelli elencati: ! $ ? # = * + – . , ; :”
Sembra impossibile immaginare di poter accedere alla nostra webmail senza dover digitare la password di almeno 12 caratteri, di cui almeno 2 maiuscole, 3 numeri, 4 simboli e due capriole su una mano sola. Eppure, stando alle aspettative del nuovo standard a cui stanno lavorando i giganti del web, webauthn, le password hanno i giorni contati:
The basic idea is that the credentials belong to the user and are managed by an authenticator, with which the Relying Party interacts through the client (consisting of the browser and underlying OS platform).
E’ innegabile che il mondo contemporaneo, che sta sempre di più basando la sua esistenza sulle piattaforme informatiche e digitali, ha un problema con le password: oltre l’80% dei data breach avvenuti nel 2016 hanno evidenziato l’uso di password deboli, banali se non proprio inesistenti. E che i ripetuti e costanti appelli all’uso di parole chiave sicure spesso finiscono per produrre il risultato opposto: dall’impossibilità di tenere traccia delle centinaia di password necessarie per accedere ad altrettanti servizi all’uso della medesima password. Tanto che lo stesso guru delle password è dovuto tornare sui suoi passi dichiarando che, in realtà, obbligare l’utente ad aumentare la complessità della sua parola chiave rischia solamente di indebolirne la scelta.
L’idea dietro a questo nuovo strumento, sviluppato all’interno di un accordo tra oltre 250 produttori mondiali di software e servizi internet (la “FIDO Alliance“), è di utilizzare la crittografia a chiave pubblica-privata per fornire le credenziali al provider in maniera trasparente per l’utente. Con un sistema di trust basato sulla cifratura asimmetrica, ed il coinvolgimento di un terzo elemento, l’authenticator, che si preoccuperà di gestire la nostra identità digitale con i vari provider di servizi, la nostra webmail ci riconoscerà automaticamente senza l’impiccio di doverne ricordare la password.
Tentativi simili sono già stati sperimentati attraverso molteplici tecnologie di sign-on, ad esempio via OAuth, oppure con l’uso di token OTP o Time-Based OTP (come le “chiavette” dell’home banking), che hanno aumentato la sicurezza delle nostre connessioni, almeno per i servizi più critici ed importanti.
Tuttavia poter beneficiare di un sistema che vada oltre il paradigma del “qualcosa che hai e qualcosa che conosci”, offrendo comunque alti livelli di sicurezza, sembra davvero un traguardo interessante.
Certo, è ancora presto per capire quali vantaggi, e svantaggi, porterà questa nuova tecnologia: speriamo che possa almeno decretare la fine del post-it con la password “pippo” attaccata al monitor sopra la scrivania…