Futuro Senza Password

Le password si sono integrate in maniera quasi indissolubile con la nostra vita digitale. Ci registriamo con velocità su siti, app e portali online, pensando solo a come terminare il processo di registrazione nel più breve tempo possibile per godere delle funzionalità che quel servizio offre. In maniera meccanica, quanto rischiosa, tendiamo ad usare però sempre le stesse password, che ormai girano per Internet differenziate magari solo da un numero, una lettera maiuscola o un carattere speciale. Sarebbe impossibile, infatti, riuscire a memorizzare password molto diverse tra loro, considerando che di certo ognuno di noi si gestisce da solo decine e decine di password. Non a caso, fino a qualche anno fa, il consiglio generale era quello di optare per il riutilizzo delle stesse password. Poi, però, il suggerimento è cambiato e ora si raccomanda di creare password diverse e aggiornate con regolarità.

I moduli di registrazione stessi si adoperano per primi per costringere l’utente a usare password casuali o che soddisfino determinati criteri di sicurezza, come una lunghezza maggiore di un determinato valore, l’uso di caratteri alfanumerici e speciali. Questo testimonia come la questione della gestione delle password sia una tematica delicata e pericolosa se sottovalutata. Senza dubbio, infatti, le password ci annoiano e ci rallentano, ma soprattutto possono avere terribili effetti collaterali. Se da un lato ci possono sembrare semplici stringhe testuali che copiamo e incolliamo qua e là, il pericolo che queste siano perse, compromesse o scoperte e che possano essere così sfruttate per scopi diversi dai nostri è una seria minaccia che dobbiamo essere capaci di prevenire, per evitare spiacevoli conseguenze.

Col tempo sono stati creati strumenti con lo scopo di aiutare gli utenti nella gestione di queste preziose password: i password manager. Si tratta di applicazioni nate per fornire un archivio sicuro e che offrono funzionalità rivolte alla gestione oculata delle password, come la generazione casuale, la crittografia usata per lo scambio delle informazioni in rete, la possibilità di usare dati biometrici, etc.
L’avvento della MFA (Multi-Factor Authentication, ossia l’autenticazione a più fattori) permise poi di alzare in maniera determinante il livello di sicurezza nell’ambito della gestione delle identità. L’autenticazione, infatti, non si basava più solo sul riconoscimento di una coppia di informazioni (i classici “nome utente” e “password”), ma si aggiungeva a questo un ulteriore strato (o anche più) che contribuiva a confermare l’identità di chi stava cercando di eseguire il login. La MFA è senza dubbio un modo eccellente per mettere al sicuro la tua organizzazione, ma gli utenti spesso sono frustrati dal supplementare livello si sicurezza da dover gestire, oltre al fatto di dover sempre e comunque ricordare o recuperare le loro password.
Microsoft ha così deciso di spingersi oltre, dando inizio a un’era in cui si esorta a ritenere l’uso delle password ormai superato (o quasi). La cosiddetta “passwordless authentication”, ossia l’autenticazione senza password, si basa sull’idea di fornire un metodo di riconoscimento semplificato, perché le password sono rimosse e sostitute da “qualcosa che l’utente possiede” e “qualcosa che l’utente è o conosce”. Ad esempio, puoi usare il tuo smartphone (qualcosa che possiedi) per dimostrare qualcosa che sei (mediante i tuoi dati biometrici come l’impronta digitale o il tuo volto) oppure che conosci (il classico esempio è quello in cui il servizio ti chiede di selezionare il numero corretto tra alcuni disponibili in un’apposita finestra di popup, in seguito alla ricezione di una notifica sul tuo smartphone). Declinando tale innovazione al mondo cloud ed Azure, Microsoft offre tre opzioni di autenticazione senza password che si intregano con Azure Active Directory (la soluzione Microsoft basata sul cloud di gestione delle identità e degli accessi):

  • Windows Hello for Business
  • L’applicazione Microsoft Authenticator
  • Le chiavi di sicurezza FIDO2

Prendendo come esempio Microsoft Autenticator, puoi far sì che lo smartphone dei tuoi dipendenti diventi un metodo di autenticazione senza password. Potresti già ora star usando l’applicazione come metodo di implementazione della MFA, in aggiunta alla tua password, ma la novità è che ora tale applicazione può essere usata in modalità passwordless.

autenticazione_passwordless

Sulla pagina dedicata presente sul sito della Microsoft trovi tutte le informazioni sull’autenticazione passwordless e su come abilitarla sul tuo account personale o per la tua azienda. È sempre presente la possibilità di ripristinare l’uso della password in fase di autenticazione, ma Microsoft ritiene che questa rivoluzione non avrà un dietro front.

 

Microsoft Azure è una piattaforma di Cloud Computing accessibile tramite un portale online che consente di accedere e gestire i servizi e le risorse cloud forniti da Microsoft

Azure Developer presso NEBULA

 

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *