Apple, Google e Microsoft vogliono uccidere la password con lo standard “passkey”.
Il primo giovedì di maggio è apparentemente il “World Password Day” e per festeggiare, Apple , Google e Microsoft stanno facendo uno ” sforzo congiunto ” per uccidere la password. I principali fornitori di sistemi operativi vogliono “estendere il supporto per lo standard comune di accesso senza password creato dalla FIDO Alliance e dal World Wide Web Consortium”.
Lo standard è indicato come “credenziali FIDO multi-dispositivo” o semplicemente “chiave di accesso”. Invece di una lunga stringa di caratteri, questo nuovo schema avrà l’app o il sito Web a cui accedi per inviare una richiesta al tuo telefono per l’autenticazione. Da lì, dovrai sbloccare il telefono, autenticarti con una sorta di pin o biometrico, e poi sei sulla buona strada. Sembra un sistema familiare a chiunque abbia configurato l’autenticazione a due fattori basata sul telefono, ma è una sostituzione della password, non un fattore aggiuntivo.
La grafica è stata fornita per l’interazione dell’utente:
Alcuni sistemi push 2FA funzionano su Internet, ma questo nuovo schema FIDO funziona tramite Bluetooth. Come spiega il white paper, “il Bluetooth richiede la vicinanza fisica, il che significa che ora abbiamo un modo resistente al phishing per utilizzare il telefono dell’utente durante l’autenticazione”. vera preoccupazione, ma l’alleanza FIDO osserva che il Bluetooth è solo per il “controllo della prossimità fisica” e che l’effettivo processo di accesso “non è influenzato dalle proprietà di sicurezza”. Bluetooth”. Ovviamente, questo significa che entrambi i dispositivi avranno bisogno del Bluetooth a bordo, che è un dato di fatto per la maggior parte degli smartphone e dei laptop, ma può essere un compito arduo per i PC desktop meno recenti.
Proprio come un gestore di password può consolidare i tuoi accessi con un’unica password, le tue password possono essere copiate da alcuni grandi proprietari di piattaforme come Apple o Google. Ciò ti consentirà di trasferire facilmente le tue credenziali su un nuovo dispositivo, evitare che vadano perse e semplificare la sincronizzazione delle password tra i dispositivi. Se perdi il tuo dispositivo, puoi comunque recuperare i tuoi account accedendo (beh, con una password?) Al tuo account proprietario della piattaforma più grande. Potrebbe anche essere una buona idea impostare più di un dispositivo come autenticatore.
Le aziende hanno cercato di eliminare le password per anni, ma non è stato facile riuscirci. Google ha un’intera sequenza temporale sul proprio blog che risale al 2008. Le password funzionano bene se sono lunghe, casuali, segrete e uniche, ma il fattore umano nelle password è sempre un problema. Siamo pessimi nel ricordare lunghe stringhe casuali di caratteri. È allettante annotare le password o riutilizzarle e gli schemi di phishing tentano di indurti a fornire la tua password a terzi. Quando si verifica una violazione della sicurezza, le coppie di nome utente e password vengono facilmente scambiate ed esistono enormi database di credenziali compromesse.
Un post sul blog FIDO afferma: “Queste nuove funzionalità dovrebbero essere disponibili sulle piattaforme Apple, Google e Microsoft nel corso del prossimo anno”. e macOS Monterey, ma non è ancora compatibile con altre piattaforme. Il supporto per la password di Google è già stato visto in Play Services su Android, quindi dovrebbe essere rapidamente supportato anche da dispositivi Android meno recenti una volta che sarà pronto.
Immagine dell’elenco di FIDO Alliance
Lascia un commento