Il tuo telefono potrebbe presto sostituire molte delle tue password – Krebs on Security

Mela, Google e Microsoft ha annunciato questa settimana che presto supporterà un approccio all’autenticazione che evita del tutto le password e richiede invece agli utenti di sbloccare semplicemente i propri smartphone per accedere a siti Web o servizi online. Gli esperti affermano che le modifiche dovrebbero aiutare a sconfiggere molti tipi di attacchi di phishing e alleviare il carico complessivo di password per gli utenti di Internet, ma attenzione che un vero futuro senza password potrebbe ancora essere lontano anni per la maggior parte dei siti Web.

I giganti della tecnologia fanno parte di uno sforzo guidato dal settore per sostituire le password, che vengono facilmente dimenticate, spesso rubate da malware e schemi di phishing o divulgate e vendute online a seguito di violazioni dei dati aziendali.

Apple, Google e Microsoft sono alcuni dei contributori più attivi a uno standard di accesso senza password creato da FIDO (“Fast Identity Online”) Alliance e World Wide Web Consortium (W3C), gruppi che hanno collaborato con centinaia di aziende tecnologiche negli ultimi dieci anni per sviluppare un nuovo standard di accesso che funzioni allo stesso modo su più browser e sistemi operativi.

Secondo la FIDO Alliance, gli utenti saranno in grado di accedere ai siti Web attraverso la stessa azione che intraprendono più volte al giorno per sbloccare i propri dispositivi, incluso un PIN del dispositivo o una biometria come un’impronta digitale o una scansione facciale.

“Questo nuovo approccio protegge dal phishing e l’accesso sarà radicalmente più sicuro rispetto alle password e alle tecnologie multifattoriali legacy come i passcode monouso inviati tramite SMS”, ha scritto l’alleanza il 5 maggio.

Sampath Srinivadirettore dell’autenticazione della sicurezza presso Google e presidente della FIDO Alliance, ha affermato che con il nuovo sistema il tuo telefono memorizzerà una credenziale FIDO chiamata “passkey” che viene utilizzata per sbloccare il tuo account online.

“La passkey rende l’accesso molto più sicuro, poiché si basa sulla crittografia a chiave pubblica e viene mostrata al tuo account online solo quando sblocchi il telefono”, ha scritto Srinivas. “Per accedere a un sito Web sul tuo computer, avrai solo bisogno del tuo telefono nelle vicinanze e ti verrà semplicemente chiesto di sbloccarlo per l’accesso. Una volta fatto questo, non avrai più bisogno del tuo telefono e potrai accedere semplicemente sbloccando il tuo computer. ”

Come ZDNet Appunti, Apple, Google e Microsoft supportano già questi standard senza password (ad es. “Accedi con Google”), ma gli utenti devono accedere a ogni sito Web per utilizzare la funzionalità senza password. Con questo nuovo sistema, gli utenti potranno accedere automaticamente alla propria passkey su molti dei loro dispositivi, senza dover registrare nuovamente ogni account, e utilizzare il proprio dispositivo mobile per accedere a un’app o a un sito Web su un dispositivo vicino.

Johannes Ullrichdecano della ricerca per il Istituto di tecnologia SANSha definito l’annuncio “di gran lunga lo sforzo più promettente per risolvere la sfida dell’autenticazione”.

“La parte più importante di questo standard è che non richiederà agli utenti di acquistare un nuovo dispositivo, ma potrebbero invece utilizzare dispositivi che già possiedono e sapere come utilizzare come autenticatori”, ha affermato Ullrich.

Steve Bellovinprofessore di informatica alla Columbia University e uno dei primi Internet ricercatore e pioniereha definito lo sforzo senza password un “enorme progresso” nell’autenticazione, ma ha affermato che ci vorrà molto tempo prima che molti siti Web raggiungano il ritardo.

Bellovin e altri affermano che uno scenario potenzialmente complicato in questo nuovo schema di autenticazione senza password è ciò che accade quando qualcuno perde il proprio dispositivo mobile o il telefono si rompe e non riesce a ricordare la propria password iCloud.

“Mi preoccupo per le persone che non possono permettersi un dispositivo aggiuntivo o non possono sostituire facilmente un dispositivo rotto o rubato”, ha detto Bellovin. “Mi preoccupo per il recupero della password dimenticata per gli account cloud.”

Google dice che anche se perdi il telefono, “le tue passkey si sincronizzeranno in modo sicuro con il tuo nuovo telefono dal backup cloud, permettendoti di riprendere da dove il tuo vecchio dispositivo era stato interrotto”.

Allo stesso modo, Apple e Microsoft hanno soluzioni di backup su cloud che i clienti che utilizzano tali piattaforme potrebbero utilizzare per recuperare da un dispositivo mobile perso. Ma Bellovin ha detto che molto dipende dalla sicurezza con cui vengono amministrati tali sistemi cloud.

“Quanto è facile aggiungere la chiave pubblica di un altro dispositivo a un account, senza autorizzazione?” si chiese Bellovin. “Penso che i loro protocolli lo rendano impossibile, ma altri non sono d’accordo”.

Nicholas Weaverdocente presso il dipartimento di informatica di Università della California, Berkeleyha affermato che i siti Web devono ancora disporre di un meccanismo di ripristino per lo scenario “hai perso il telefono e la password”, che ha descritto come “un problema davvero difficile da risolvere in modo sicuro e già uno dei maggiori punti deboli nel nostro sistema attuale”.

“Se dimentichi la password e perdi il telefono e puoi recuperarlo, ora questo è un enorme obiettivo per gli aggressori”, ha detto Weaver in un’e-mail. “Se dimentichi la password e perdi il telefono e NON PUOI, beh, ora hai perso il token di autorizzazione utilizzato per l’accesso. Dovrà essere quest’ultimo. Apple ha l’infrastruttura in atto per supportarlo (portachiavi iCloud), ma non è chiaro se Google lo faccia. ”

Anche così, ha affermato, l’approccio FIDO generale è stato un ottimo strumento per migliorare sia la sicurezza che l’usabilità.

“È davvero un ottimo passo avanti e sono felice di vederlo”, ha detto Weaver. “Sfruttare la forte autenticazione del telefono del proprietario del telefono (se si dispone di un codice di accesso decente) è piuttosto piacevole. E almeno per l’iPhone puoi renderlo robusto anche al compromesso telefonico, poiché è l’enclave sicura che gestirebbe questo e l’enclave sicura non si fida del sistema operativo host. “

I giganti della tecnologia hanno affermato che le nuove funzionalità senza password saranno abilitate su piattaforme Apple, Google e Microsoft “nel corso del prossimo anno”. Ma gli esperti hanno affermato che probabilmente ci vorranno diversi anni prima che le destinazioni Web più piccole adottino la tecnologia e abbandonino del tutto le password.

Ricerche recenti mostrano che troppe persone ancora riutilizzano o riciclano le password (modificando leggermente la stessa password), il che presenta un rischio di acquisizione dell’account quando tali credenziali vengono eventualmente esposte in una violazione dei dati. UN rapporto a marzo da una società di sicurezza informatica SpyCloud ha rilevato che il 64% degli utenti riutilizza le password per più account e che il 70% delle credenziali compromesse in precedenti violazioni è ancora in uso.

È disponibile un white paper di marzo 2022 sull’approccio FIDO qui (PDF). Una FAQ su di esso è qui.