Password: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Riga 29:
== Passwordless o Passkey ==
La password ha un'intrinseca vulnerabilità perché, specie quando è banale o fissa, può essere facilmente rilevata. Per questo è sempre più diffusa l'autenticazione o l'identificazione mediante metodologie che fanno "a meno della password" (esperienza ''passwordless'' o ''passkey'') o, semplicemente, anche del nome utente. Una volta eseguita la registrazione o l'abbinamento sul servizio di autenticazione (tipicamente usando un account web che utilizza un certificato digitale), l'autorizzazione può esere fornita mediante: mail (codice stile OTP), telefonata, SMS, dispositivo hardware (token o chiavetta), app di autenticazione, telefonino (notifica bluetooth o segno su bloccaschermo), NFC, codice QR, impronta biometrica, riconoscimento facciale, certificato, servizio di terze parti. Alcuni di questi strumenti richiedono che sia disponibile la connessione internet o telefonica e questo potrebbe rappresentare un rischio. Tali metodi possono richiedere anche un PIN durante il [[login]] per fornire il consenso (tipico quando si usano chiavi hardware di sicurezza).
Come dice [Microsoft]]<ref>{{Cita web|url=https://learn.microsoft.com/it-it/entra/identity/authentication/concept-authentication-passwordless|titolo=Opzioni di autenticazione senza password per Microsoft Entra ID|accesso=25/02/2024}}</ref> "i metodi di autenticazione senza password sono più pratici, perché la password viene rimossa e sostituita con qualcosa che si possiede, una caratteristica fisica o un'informazione nota". Anche [[Google]] ed [[Apple]] incoraggiano il passwordless. Inoltre, è intrinsecamente molto più sicuro perché il malintenzionato deve avere o accesso fisico o possedere contemporaneamente più elementi di autenticazione in un certo istante e per un lasso di tempo brevissimo: invece la password è un solo elemento, scovabile da remoto, a volte facilmente aggirabile.
| |||