Tre giganti dell’informatica si uniscono per dire addio alle password: Apple, Google e Microsoft hanno deciso di collaborare per velocizzare il processo che eliminerà le password per il login su dispositivi e piattaforme. Lo hanno annunciato qualche giorno fa sui rispettivi siti ufficiali, promettendo di espandere il supporto allo standard di FIDO Alliance. Le password tradizionali sono ormai considerate troppo deboli per il mondo attuale.
D’altronde i rapporti di sicurezza lo dicono da anni: la maggior parte delle violazioni sono causate da password non sicure. Nel suo ultimo report, Verizon ha affermato che l’80% degli attacchi andati a buon fine è legato a una scelta debole della password. Non è difficile crederci, dal momento che in Italia le password più usate sono ancora “123456”, assieme a “qwerty” e “000000”.
A partire da questo momento, Apple, Google e Microsoft daranno il via a diversi piani per supportare gli standard FIDO ed eliminare l’uso delle password. Si punta a una maggiore sicurezza e a una piattaforma unica che permetterà di usare lo smartphone per entrare nei profili social, account bancari o in qualsiasi servizio.
Nelle procedure di login è senza dubbio la componente umana quella più debole. Se pensiamo alle password, ancora tanti utenti usano parole troppo deboli e facili da indovinare. I tre giganti tech si sono uniti per sviluppare un’infrastruttura in grado di consentire il login senza password, funzionante su smartphone, computer e browser.
Secondo quanto riportato da Apple sul suo blog, le proprie piattaforme e quelle di Google e Microsoft supportano già un accesso password-less, ma richiedono comunque un passaggio iniziale in cui si richiede di inserire la parola d’accesso. Con l’annuncio dei giorni scorsi le aziende puntano a eliminare questa fase ed eliminare del tutto la password.
Ma come funzionerà il nuovo sistema di autenticazione? Con i nuovi standard FIDO ci si baserà su chiavi private e pubbliche. Ogni volta che ci si registra su un sito o a un’applicazione, la piattaforma genera due chiavi, una privata e una pubblica: la prima viene mantenuta sullo smartphone, mentre la seconda è condivisa e memorizzata nel database del servizio a cui ci si è registrati.
La chiave privata può essere un comando vocale, un dispositivo indossabile col quale collegare, un token o anche un meccanismo di riconoscimento biometrico. Di certo alcune debolezze permangono, ma si eliminano quelle principali dovute a password scelte dall’utente. Il nuovo sistema, secondo le tre aziende, dovrebbe entrare in vigore già nel 2023.
Le password sono universalmente riconosciute come il sistema di login più debole. La maggior parte degli utenti non usa nemmeno un generatore di password randomiche, né sfrutta strumenti come casseforti per memorizzarle, finendo poi per dimenticarsele.
Un report di NordPass ha evidenziato come le password più usate del 2020 siano state sequenze di numeri o parole estremamente facili da indovinare. La password più usata al mondo è 123456, ed è anche quella più usata in Italia. Nel nostro paese sono in 1.726.692 ad averla scelta come “protezione” per i propri account. A seguire c’è 123456789 e altre variazioni della sequenza, mentre qwerty si trova in quinta posizione.
L’Italia conta anche molti fan dei bianco-neri, visto che la sesta password più usata è juventus, seguita da 000000, password e andrea. Molti sono i nomi propri di persona usati come password, ma ciò che stupisce è la differenza del tempo medio per decifrarle: andrea necessita meno di 2 minuti per essere bucata, mentre giuseppe richiede almeno 3 ore. Tra le password più comuni c’è anche vaffanculo, usata da 76.981 persone; il tempo medio per decifrarla è di ben 12 giorni.