Mai sentito parlare dell’alleanza FIDO? FIDO Alliance, nella sua versione originale.
No, non si tratta di un’associazione fra pelosi quattrozampe. FIDO sta per Fast IDentity Online. Stabilita nel febbraio 2013, l’alleanza ha come obiettivo promuovere standard di autentificazione che possano “aiutare a ridurre l’eccessiva dipendenza dal mondo delle password”. Attualmente annovera fra i suoi soci centinaia di responsabili tecnologici che lavorano nel settore manifatturiero, dei servizi, finanza e pagamenti, sanità, informatica e telecomunicazioni, ovviamente.
Già, le password, le parole d’ordine con cui accediamo ai dispositivi e servizi dell’universo informatico. Crearle e gestirle è una scocciatura di entità tale che troppo spesso si riutilizzano (il 51 per cento delle password sono riciclate) o si scelgono sequenze alfanumeriche facilmente indovinabili, o si ricorre a scorciatoie molto pericolose. Qualche esempio. Parole troppo ovvie e banali.
A scala mondiale la password più usata è…password! Seguono luogo e data di nascita dell’utente, oppure dei figli, per non parlare del cane. Immancabili l’indirizzo di casa, lo storico Pippo. Sempre in buona compagnia: Paperino, Pluto, UomoRagno e il sempre presente 12345678. I più furbi adottano lo 87654321. L’80 per cento degli accessi illegali ai dati sono causati dalle password. Più del 90 per cento degli utenti della rete accedono in media a 90 servizi informatici che richiedono password. Quando vi dimenticate la password e chiedete a chi vi fornisce il servizio di recuperarla, il costo è di circa 70 dollari.
Gli hacker ringraziano. Per chi si occupa di sicurezza, invece, le password sono un vero e proprio incubo.
Ovvio quindi che riuscire a trovare un modo sicuro di accedere al mondo digitale senza fare uso di password, garantendo comunque la sicurezza, sia obiettivo prioritario. Il che spiega la ragione di esistere e l’importanza della FIDO Alliance.
A dire il vero, sono già molti i dispositivi cui si accede senza fare uso di password. Molto probabilmente il vostro cellulare lo attivate con il riconoscimento biometrico: il vostro viso, oppure l’impronta digitale, forse la voce.
A bordo del telefono ci sono opportuni sensori in grado di effettuare la scansione di riconoscimento. Operano localmente. quindi non richiedono che le aziende, per controllare gli accessi, memorizzino, su un server, da qualche parte nel mondo, password utente o dati biometrici sensibili.
Esistono anche soluzioni che si basano su “gettoni” (token) fisici autonomi per accedere, in modalità wireless e senza password.
L’alleanza FIDO, fra le altre cose, ha messo a punto una soluzione, si chiama passkey, che consente di non fare più uso di password. Si tratta di una chiave digitale privata, generata usando dati biometrici.
Per entrare su un sito, o altro servizio digitale, dimostrando di essere il proprietario dell’account, basta mostrare all’apposito sensore, il proprio volto o polpastrello.
L’informazione biometrica è la cosiddetta «private key» e non viene mai condivisa. Quando ci si registra a un servizio viene associata alla private key una «public key», condivisa con l’app o il sito web. La combinazione delle due chiavi permette l’autenticazione sicura senza bisogno di usare password.
Vero che in un’intervista rilasciata a Wired, Mark Risher, direttore responsabile della gestione dei prodotti di Google per le applicazioni di identità e sicurezza, ha detto: “Tutti gli elementi costitutivi hanno raggiunto un livello di maturità tale da potere passare dagli utenti tecnofili al grande pubblico. Sono ben integrati con le piattaforme, lavorano con tutti i principali provider e stanno diventando familiari agli utenti. Prima, noi come industria, non sapevamo nemmeno come sbarazzarci delle password. Ora ci vorrà del tempo, ma sappiamo come e lo stiamo facendo”. Però non è, ad oggi, una soluzione alla portata di tutti.
Due sono le sfide da vincere.
La prima è che le password, tanto disprezzate, “sono note a chi è cresciuto tra voi, e impresse nella sua mente, non meno che lo sia l’aspetto de’ suoi più familiari” per usare le parole del grande Manzoni. Non è facile modificare abitudini decennali. “È un comportamento appreso: la prima cosa da fare è impostare la password…“, afferma Andrew Shikiar, direttore esecutivo della FIDO Alliance, “… dobbiamo spezzare questa dipendenza”.
La seconda è anche più difficile. Molte delle soluzioni, degli schemi proposti per fare a meno delle password funzionano solo sui dispositivi più recenti e richiedono di avere sotto mano uno smartphone insieme ad almeno un altro dispositivo.
Per utilizzare Passkey bisogna avere, a voi la scelta, uno smartphone o tablet con sistema operativo aggiornato almeno a iOS 16 o Android 9, oppure un computer su cui gira come sistema operativo almeno macOS Ventura o Windows10, con browser Chrome da versione 109, Safari da versione 16 o Edge da versione 109, oppure una chiavetta USB di sicurezza con sopra lo standard FIDO2.
Non importa quale sia la soluzione scelta, fra quelle sopra elencate, serve anche il blocco di sicurezza dello schermo con codice PIN o sistemi biometrici e nel caso di un computer il Bluetooth deve essere attivo.
Sono requisiti che restringono di molto il novero dei potenziali utenti. In termini tecnici si parla di caso d’uso ristretto. Inoltre i dispositivi spesso sono condivisi e non possono essere aggiornarti frequentemente.
Altre difficoltà. Mentre le soluzioni che fanno a meno delle password sono sempre più standardizzate, le opzioni di ripristino dell’accesso al proprio spazio non lo sono.
Se per fare tornare in linea qualcosa occorre rispondere a domande di sicurezza o digitare un PIN, un codice numerico personale, di fatto continuiamo ad avvalerci di password, solo in un formato diverso.
Per questo gli schemi senza password stanno definendo sistemi in cui un dispositivo, precedentemente autenticato, può autorizzare uno nuovo.
Esempio, suggerito da Mark Risher di Google: “Lasci il tuo telefono in un taxi e hai il tuo laptop a casa. Ti procuri un nuovo telefono e usi il laptop per validarlo, ricostruendo tutto ciò che hai perso. Se poi qualcuno trova il tuo telefono smarrito, nessun problema: è ancora protetto dal blocco predefinito”.
Di certo è meglio che appuntarsi da qualche parte i codici di ripristino. Però sono in tanti a non possedere una molteplicità di dispositivi.
Da notare che ci sono ancora perplessità forti sulle alternative alle password. Ad esempio, i dati biometrici sono ideali per l’autenticazione, perché hanno a che fare con la totale unicità del proprio essere fisico. Però… Cosa accade se i dati relativi alle proprie impronte digitali o al proprio viso vengono rubati? La password la si può cambiare come e quando si vuole. Il proprio volto, retina, polpastrello, voce o battito cardiaco no. Mai. Il ladro, felice di impersonificare il derubato, ringrazia.
Ci vorrà più tempo e più sperimentazione per creare un ecosistema senza password in grado di sostituirne tutte le funzionalità, in grado di non perdere per strada i miliardi di persone che non possiedono uno smartphone o una c collezione di dispositivi.
Condividere account con persone fidate in un mondo senza password diventa molto più difficile.
Legare tutti i propri accessi al mondo digitale a un solo dispositivo, il telefono cellulare, è lanciare il guanto di sfida agli hacker del mondo. Faranno di tutto per comprometterlo.
Comunque, fino a quando le password non saranno sparite del tutto, stare sempre molto attenti alle password che si usano. Fate in modo che siano complesse, univoche, criptate, memorizzate da un gestore di password, basate sull’autenticazione a due fattori, fatelo ogni volta che sia possibile.
Siate, siete responsabili della vostra sicurezza.
