Versione delle 13:52, 25 feb 2024 modifica Sistoiv (discussione \| contributi) Utenti autoverificati 7 327 modifiche m →Passwordless o Passkey ← Differenza precedente		Versione delle 13:52, 25 feb 2024 modifica annulla Sistoiv (discussione \| contributi) Utenti autoverificati 7 327 modifiche m →Passwordless o Passkey Differenza successiva →
Riga 31: La password ha un'intrinseca vulnerabilità perché, specie quando è banale o fissa, può essere facilmente rilevata. Per questo è sempre più diffusa l'autenticazione o l'identificazione mediante metodologie che fanno "a meno della password" (esperienza ''passwordless'' o ''passkey'') o, semplicemente, anche del nome utente. Una volta eseguita la registrazione o l'abbinamento sul servizio di autenticazione (tipicamente usando un account web che utilizza un certificato digitale), l'autorizzazione può esere fornita mediante: mail (codice stile OTP), telefonata, SMS, dispositivo hardware (token o chiavetta), app di autenticazione, telefonino ovvero il relativo token di sicurezza integrato (notifica bluetooth o segno su bloccaschermo), NFC, codice QR, impronta biometrica, riconoscimento facciale, certificato, servizio di terze parti. Alcuni di questi strumenti richiedono che sia disponibile la connessione internet o telefonica e questo potrebbe rappresentare un rischio. Tali metodi possono richiedere anche un PIN durante il [[login]] per fornire il consenso (tipico quando si usano chiavi hardware di sicurezza). Come dice [[Microsoft]]<ref>{{Cita web\|url=https://learn.microsoft.com/it-it/entra/identity/authentication/concept-authentication-passwordless\|titolo=Opzioni di autenticazione senza password per Microsoft Entra ID\|accesso=25/02/2024}}</ref> "i metodi di autenticazione senza password sono più pratici, perché la password viene rimossa e sostituita con qualcosa che si possiede, una caratteristica fisica o un'informazione nota". Anche [[Google]] ed [[Apple]] incoraggiano il passwordless. Inoltre, è intrinsecamente molto più sicuro perché il malintenzionato deve avere o accesso fisico o possedere contemporaneamente più elementi di autenticazione in un certo istante e per un lasso di tempo brevissimo: invece la password è un solo elemento, scovabile da remoto, a volte facilmente aggirabile. Questo sistema rappresenta o integra un metodo MFA ma privo di credenziali con password (a parte quella che protegge l'eventuale app dedicata all'autorizzazione). Spesso è necessario che sia impostata qualche funzione del terminale identificato che fornisce l'autorizzazione (blocco schermo attivato e bluetooth abilitato del telefonino) o applicazione del dispositivo da accedere o una certa versione a a salire di un determinato browser. Ovviamente, devono essere impostati altri terminali o elementi di autorizzazione passkey di riserva o procedure di recupero in caso di anomalie o guasti di quello principale o definitiva indisponibilità di indirizzo mail o numero di telefono per cessazione/chiusura/smarrimento utenza (aspetto spesso sottovalutato dalle persone).

Password: differenze tra le versioni