Password: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
→Passwordless o Passkey: aggiustamento Etichetta: Link a pagina di disambiguazione |
m →Passwordless o Passkey: Corretto un collegamento che portava a una "pagina di disambiguazione" |
||
Riga 29:
== Passwordless o Passkey ==
La password ha un'intrinseca vulnerabilità perché, specie quando è banale o fissa, può essere facilmente rilevata (infatti, è una delle operazioni piu semplici per un attaccante ''cybercrime''). Per questo è sempre più diffusa l'autenticazione o l'identificazione mediante metodologie che fanno "a meno della password" (esperienza ''passwordless'' o ''passkey'') o, semplicemente, anche del nome utente. Una volta eseguita la registrazione o l'abbinamento sul servizio di autenticazione (tipicamente tramite una funzione del sistema operafivo o utilizzando un account web che utilizza un certificato digitale), l'autorizzazione può esere fornita mediante: mail (codice stile OTP) o azione positiva su tasto nel testo del messaggio, telefonata, SMS e relativa azione positiva (OTP o testo risposta o rimando a collegamento a servizio web di raccolta autorizzazione), dispositivo hardware ([[Token (sicurezza)|token]] stile gettone, token stile chiavetta con visualizzatore o tasto, chiavetta USB da inserire<ref>La chiavetta USB è formattabile inavvertitamente mentre la chiavetta dedicata non ha questo rischio ma ha quello che la pila di alimentazione possa scaricarsi; il token a gettone o scheda non hanno ambo gli inconvenienti.</ref>), app di autenticazione, telefonino ovvero il relativo token di sicurezza integrato (notifica via bluetooth o rete telefonica o wireless approvata o segno su bloccaschermo o PIN), NFC, VPN, codice QR, impronta biometrica, sequenza in bloccaschermo su monitor a tocco, riconoscimento facciale, servizio autenticazione di terze parti. A volte i singoli elementi possono agire congiunti (ma su 2 canali diversi), sia quando serve elevato tasso di sicurezza (operazioni critiche) sia per disporre di un eventuale recupero di emergenza quando uno dei due non fosse disponibile (ad esempio: lettura biometrica + PIN o consenso via notifica telefonino + OTP via chat). Perché la procedura passkey sia adeguata occorre che i vari dispositivi o servizi siano supportati da certificati firmati da autorità accreditate. Alcuni di questi strumenti richiedono che sia disponibile la connessione internet o telefonica o la batteria carica e questo potrebbe rappresentare un rischio (il token fisico stile gettone, ad esempio, supera questo inconveniente). Tali metodi possono richiedere anche un PIN durante il [[login]] per fornire l'autorizzazione (tipico quando si usano chiavi hardware di sicurezza) o il consenso nella notifica dello smartphone e comunque tutti necessitano di [[signup]] iniziale (enrollment).
Come dice [[Microsoft]]<ref>{{Cita web|url=https://learn.microsoft.com/it-it/entra/identity/authentication/concept-authentication-passwordless|titolo=Opzioni di autenticazione senza password per Microsoft Entra ID|accesso=25/02/2024}}</ref> "i metodi di autenticazione senza password sono più pratici, perché la password viene rimossa e sostituita con qualcosa che si possiede, una caratteristica fisica o un'informazione nota". Anche [[Google]] ed [[Apple]] incoraggiano il passwordless. Inoltre, è intrinsecamente molto più sicuro perché il malintenzionato deve avere o accesso fisico o possedere contemporaneamente più elementi di autenticazione in un certo istante e per un lasso di tempo brevissimo: invece la password è un solo elemento, scovabile da remoto, a volte facilmente aggirabile.
| |||