Sempre più app, servizi, aziende e piattaforme offrono la possibilità di proteggere contenuti e dati sensibili con password di ogni tipo. Tuttavia, Google ha deciso di adottare un metodo diverso per Android e Chrome. Presto sarà possibile procedere con l’autenticazione anche senza password.
Autenticarsi sui vari servizi senza password, per Google, significa che accedere a un account da un sito Web o da un’app sarà semplice e più sicuro rispetto all’utilizzo di una password. L’assenza di una forma di sicurezza che ormai tutti conosciamo e adottiamo con tutte le nostre tecnologie può sembrare l’esatto opposto. Tuttavia, l’obiettivo di Google non è proteggere meno i suoi utenti ma farlo in modo diverso, persino più efficace.
La più grande problematica che emerge nell’utilizzo delle password è che le utilizziamo ovunque e spesso senza cambiarle tra un servizio e l’altro. Questo rende i nostri dati tutti potenzialmente a rischio allo stesso modo. Basta un problema con una singola password per riversarsi su tutte le altre. Secondo un recente sondaggio di Google su 4.000 americani, il 19% afferma di aver utilizzato spesso parole facilmente intuibili o 123456 o “Password” come codice d’autenticazione. Le password così semplici sono più frequenti di quanto possa sembrare.
Autenticazione senza inserire alcuna password: i progressi di Google verso questo nuovo obiettivo
Gli utenti che hanno familiarità con il funzionamento dell’autenticazione a due fattori a grandi linee probabilmente capiscono già come funziona l’autenticazione senza password. L’autenticazione tramite sistemi come FIDO2 si basa sul dimostrare la propria identità. Google mira proprio a promuovere questo tipo di riconoscimento, tutto tramite telefono. Sembra certamente meno sicuro. Ma la verità è che niente di tutto ciò ha effettivamente un impatto.
Nessuno può rubare il tuo PIN ottenuto con questo sistema d’autenticazione alternativo; hanno bisogno del tuo telefono per farlo funzionare. In questo modo, non ci sono combinazioni complicate da ricordare e nessun gestore aggiuntivo con cui interfacciarsi. La maggior parte dei telefoni può archiviare una chiave crittografica in modo sicuro. Ad esempio, FIDO2 ha prerequisiti come l’API WebAuthn per funzionare nei browser, il cui supporto su Chrome è arrivato solo da qualche anno. L’autenticazione a due fattori è già un’alternativa abbastanza sicura, ma la mancanza di praticità impedisce ad alcuni di adottarla.