Le password potrebbero diventare presto storia vecchia. Questo è ciò che emerge dal recente annuncio di Google, Microsoft e Apple che, in uno sforzo congiunto, intendono adottare presso l'accesso senza password sulle rispettive piattaforme mobili, desktop e browser. Dunque a breve, l'autenticazione passwordless potrebbe arrivare sia su iOS che Android, su Edge, Safari e Chrome, nonché su Windows e macOS. Ma cosa vuol dire tutto questo?
In sostanza, con l'accesso senza password, l'utente può decidere di usare lo smartphone come dispositivo di autenticazione principale sia per le app che per i siti web, nonché altri servizi digitali. Google ha dedicato all'argomento un post sul proprio blog.
I metodi di autenticazione in se possono essere diversi: dall'inserimento di un PIN al tracciamento di un "disegno" con il dito, oppure l'uso delle impronte digitali, nulla di realmente nuovo in realtà, se non il passaggio allo smartphone come mezzo di autenticazione unico che bypassa del tutto l'inserimento di password (che possono essere difficili da ricordare, senza dimenticare i rischi connessi al modo in cui vengono archiviate digitalmente).
Tra i possibili vantaggi, una minore esposizione ad attacchi di phishing o a tentativi di furto di credenziali, dato che occorrerebbe entrare in possesso di un dispositivo fisico.
La tecnologia alla base di questa nuova funzionalità di accesso multi-piattaforma si basa sullo standard FIDO, che sfrutta i principi della crittografia delle chiavi pubbliche sia per l'autenticazione passwordless che per quella a due fattori. Lo smartphone di un utente viene associato a una passkey definita secondo i requisiti di FIDO, che viene condivisa con i siti web ai fini dell'autenticazione solo quando il telefono è sbloccato.
L'eventuale smarrimento dello smartphone (probabilmente una potenziale fonte di preoccupazione per molti lettori) non costituirebbe un grande problema, dato che sarebbe possibile sincronizzare facilmente le passkey su nuovi dispositivi tramite il backup in cloud. E se finora FIDO ha sempre richiesto comunque una password come prerequisito, la nuova strategia passwordless assume un significato particolarmente interessante.
Secondo i tre colossi tecnologici, questa nuova funzionalità di autenticazione dovrebbe arrivare sulle rispettive piattaforme nel corso del prossimo anno, ma si attendono ancora delle tempistiche ufficiali e definitive.
