Password: differenze tra le versioni

La password ha un'intrinseca vulnerabilità perché, specie quando è banale o fissa, può essere facilmente rilevata. Per questo è sempre più diffusa l'autenticazione o l'identificazione mediante metodologie che fanno "a meno della password" (esperienza ''passwordless'' o ''passkey'') o, semplicemente, anche del nome utente. Una volta eseguita la registrazione o l'abbinamento sul servizio di autenticazione (tipicamente usando un account web che utilizza un certificato digitale), l'autorizzazione può esere fornita mediante: mail (codice stile OTP), telefonata, SMS, dispositivo hardware (token o chiavetta), app di autenticazione, telefonino ovvero il relativo token di sicurezza integrato (notifica bluetooth o segno su bloccaschermo), NFC, codice QR, impronta biometrica, riconoscimento facciale, certificato, servizio di terze parti. Alcuni di questi strumenti richiedono che sia disponibile la connessione internet o telefonica e questo potrebbe rappresentare un rischio. Tali metodi possono richiedere anche un PIN durante il [[login]] per fornire il consenso (tipico quando si usano chiavi hardware di sicurezza).

Questo sistema rappresenta o integra un metodo MFA ma privo di credenziali con password (a parte quella che protegge l'eventuale app dedicata all'autorizzazione). Spesso è necessario che sia impostata qualche funzione del terminale identificato che fornisce l'autorizzazione (blocco schermo attivato e bluetooth abilitato del telefonino) o applicazione del dispositivo da accedere o una certa versione a a salire di un determinato browser. Ovviamente, devono essere impostati altri terminali o elementi di autorizzazione ''passkey'' di riserva o procedure di recupero in caso di anomalie o guasti di quello principale o definitiva indisponibilità di indirizzo mail o numero di telefono per cessazione/chiusura/smarrimento utenza (aspetto spesso sottovalutato dalle persone).