Password: differenze tra le versioni

La password ha un'intrinseca vulnerabilità perché, specie quando è banale o fissa, può essere facilmente rilevata. Per questo è sempre più diffusa l'autenticazione o l'identificazione mediante metodologie che fanno "a meno della password" (esperienza ''passwordless'' o ''passkey'') o, semplicemente, anche del nome utente. Una volta eseguita la registrazione o l'abbinamento sul servizio di autenticazione (tipicamente usando un account web che utilizza un certificato digitale), l'autorizzazione può esere fornita mediante: mail (codice stile OTP) o azione positiva su tasto nel testo del messaaggiomessaggio, telefonata, SMS e relativa azione positiva (OTP o testo risposta o rimando a collegamento a servizio web di raccolta autorizzazione), dispositivo hardware (token stile gettone o chiavetta con visualizzatore o tasto o chiavetta USB da inserire<ref>La chiavetta USB è formattabile inavvertitamente mentre la chiavetta dedicata non ha questo rischio ma ha quello che la pila di alimentazione possa scaricarsi; il token a gettone o scheda non hanno ambo gli inconvenienti.</ref>), app di autenticazione, telefonino ovvero il relativo token di sicurezza integrato (notifica bluetooth o segno su bloccaschermo), NFC, codice QR, impronta biometrica, sequenza in bloccaschermo, riconoscimento facciale, servizio autenticazione di terze parti. Perché la procedura passkey sia adeguata occorre che i vari dispositivi o servizi siano supportati da certificati firmati da autorità accreditate. Alcuni di questi strumenti richiedono che sia disponibile la connessione internet o telefonica o la batteria carica e questo potrebbe rappresentare un rischio (il token fisico, ad esempio, supera questo inconveniente). Tali metodi possono richiedere anche un PIN durante il [[login]] per fornire l'autorizzazione (tipico quando si usano chiavi hardware di sicurezza) o il consenso nella notifica dello smartphone e comunque tutti necessitano di [[signup]] iniziale (enrollment).