Microsoft si unisce a Apple e a Google che sta introducendo il supporto dei passkeys negli account dei consumatori per i login senza password

Microsoft ha introdotto il supporto per i passkey per gli account dei consumatori. I passkey sono un metodo di accesso senza password, progettato per prevenire l'acquisizione di account riducendo o eliminando l'uso delle password. Al posto delle password, per accedere agli account vengono utilizzati il riconoscimento facciale, le scansioni delle impronte digitali o i numeri PIN.

Metodi attuali di protezione dei conti online

Le password degli account online spesso richiedono una combinazione odiosa di lettere minuscole e maiuscole, numeri e simboli, facilmente dimenticabile e noiosa da digitare, ma che può essere rubata dagli hacker tramite phishing, malware e altri metodi.

Un modo per aumentare la sicurezza del conto è quello di richiedere codici PIN via sms insieme alle password. Sebbene sia più sicuro della sola password, gli hacker possono comunque intercettare il codice attraverso la clonazione illegale SIMscambio di SIM, hacking di telefoni cellularie sniffing della rete cellulare quando prendono di mira VIP come il Presidente. La maggior parte dei conti protetti da PIN rimane comunque meglio protetta.

Un altro modo per aumentare la sicurezza del conto è utilizzare dispositivi e software a due fattori (2FA)(come questo su Amazon) che generano un codice unico da inserire insieme alla password. Mentre il software 2FA è vulnerabile al malware e alla clonazione, l'hardware 2FA è difficile da copiare, il che lo rende popolare per proteggere gli account. Tuttavia, gli hacker hanno trovato modi per aggirare la sicurezza 2FA.

Passkey

Il problema delle password dimenticate esiste anche nei metodi precedenti, per cui le passkey sono state promosse da aziende importanti come Apple, Google e Microsoft come alternativa all'hardware 2FA. I login con passkey sono in genere autenticati dal riconoscimento facciale, dalla scansione delle impronte digitali o dall'inserimento del PIN sullo smartphone di una persona per la maggior parte degli utenti. Microsoft afferma che tutti i dati biometrici rimangono sul dispositivo dell'utente e non vengono mai inviati.

Un vantaggio del sistema di passkey è che viene creata una coppia di chiavi crittografiche uniche per ogni account online. Un login per un account non funzionerà per un altro account. I lettori che desiderano provare il nuovo mondo dei login senza password possono leggere l'impostazione delle passkey per gli account consumer di su Microsoft, Apple, e Google.

I lettori che non vogliono utilizzare i passkey possono continuare ad utilizzare i codici PIN o i dispositivi hardware 2FA come questo di Amazon (si ricordi di acquistare un backup extra).

Potenziali problemi legati ai passkey

I passkey introducono potenziali problemi e vulnerabilità. Il primo è la mancanza di due diverse informazioni per i login: è richiesto solo il telefono o il dispositivo 2FA, quindi i dispositivi rubati hanno la piena capacità di accedere a tutti gli account. I bambini sanno come sbirciare da una spalla per rubare un codice PIN, e gli hacker hanno violato il riconoscimento facciale di di Microsoft e la verifica delle impronte digitali in passato. Inoltre, molti account protetti da passkey rimangono vulnerabili perché le password vengono utilizzate come metodo di recupero. In particolare, se i suoi dati biometrici, come l'impronta digitale, vengono clonati, non può cambiarli a meno che non si sottoponga a un intervento chirurgico, quindi gli hacker possono fingere di essere lei finché continua a utilizzare la stessa impronta digitale per l'autenticazione.

Anche la perdita del database delle chiavi di accesso è un problema significativo. Se le password vengono eliminate completamente, la perdita del database delle chiavi d'accesso senza un metodo sicuro per il recupero dell'account può bloccare istantaneamente gli utenti dai loro account per sempre, come hanno sperimentato molti possessori di bitcoin dopo aver perso i loro smartphone. Il problema rimane così grande, che anche l'autore di di webauthn-rs non è convintocome molti utenti che hanno segnalato la distruzione per errore delle loro chiavi d'accesso da parte di Apple e di altre aziende. Inoltre, la NSA sa che l'attuale crittografia non quantistica è a rischioquindi gli utenti intelligenti dovrebbero diffidare dei backup cloud delle chiavi d'accesso.

Strategie sicure per password e account

I gestori di password come 1password e LastPass sono stati ripetutamente violati, quindi anche consentire ai browser web di ricordare i suoi segreti può essere una cattiva idea, perché una violazione riuscita può compromettere tutti gli account. Utilizzi invece una strategia di creazione di password che possa ricordare facilmente. Ad esempio, frase lunga preferita + "nome iniziale del sito" + numero + "simbolo".

Un'altra buona strategia è quella di isolare e dividere. Ad esempio, utilizzi un account e-mail solo per i dati finanziari e un altro per la corrispondenza regolare - con password diverse. I notebook sono abbastanza economici(come questo su Amazon) da poterne acquistare uno solo per la finanza.

Poiché lo scambio di SIM su è una minaccia per tutti gli utenti che proteggono gli account utilizzando i loro telefoni, legga come proteggere la sua carta SIM per T-MobileVerizon, o AT&T utenti.