Ecco perché il 2016 potrebbe essere l’anno dell’addio alle password
Dalla nascita del World Wide Web il sistema di sicurezza più utilizzato è senza dubbio quello basato sulle password. A volte annotate su foglietti di carta, spesso dimenticate o create in modo talmente casuale da risultare impossibili da ricordare, con le password abbiamo avuto tutti a che fare, sapendo quanto talvolta può esserne difficile la gestione. Tutto questo potrebbe cambiare da qui alla fine dell'anno.
A prometterlo è il World Wide Web Consortium, conosciuto anche come W3C, l'organizzazione non governativa internazionale che ha come scopo lo sviluppo di specifiche del Web. È notizia di questo mese l'inaugurazione di un nuovo gruppo di ricerca, il “Web Authentication Working Group Charter”, creato con l'obiettivo di cercare metodi di sicurezza e autenticazione alternativi alle password, considerate ormai obsolete oltre che sensibili a vari tipi di attacchi informatici, tra cui il phishing.
Un'idea proposta dal gruppo di ricerca, ad esempio, potrebbe sfruttare il fatto che soltanto noi abbiamo accesso ad un particolare device fisico, come il nostro smartphone. Il primo accesso ad un determinato servizio, come la casella mail, avverrebbe dunque dal nostro dispositivo mobile, in modo da associare questo al nostro account e al quale verrà inviata una richiesta di “conferma” quando proveremo ad accedere al servizio via browser tramite un altro dispositivo. Nel caso di smarrimento del telefono sarà possibile disattivare le proprie credenziali fino ad una successiva registrazione da un nuovo dispositivo. Di questo nuovo standard, basato sul framework FIDO 2.0 (Fast Identification Online) molti dettagli non sono ancora definiti. Il gruppo di ricerca è nato infatti molto recentemente e all'interno figurano nomi del calibro di Richard Barnes, capo della sicurezza di Mozilla, e Anthony Natalin, Partner Architech di Microsoft.
“La nostra missione è rivoluzionare l'autenticazione sul Web tramite lo sviluppo e l'adozione globale di specifiche tecniche che soppiantino la dipendenza dalle password”, dice Brett McDowell, direttore di FIDO Alliance. “Con l'approvazione da parte di W3C del progetto FIDO 2.0 e di questo nuovo Web Authentication Working Group, siamo finalmente sulla via di realizzare questa missione”. Il gruppo di ricerca terrà un nuovo meeting il prossimo 4 Marzo a San Francisco e promette di concludere qualcosa per la fine dell'anno.
Se da un lato la proposta di sistemi di autenticazione più rapidi e comodi può dare sollievo, dall'altra si sollevano dubbi su quanto questi nuovi modelli potrebbero limitare la possibilità di accedere a servizi in modo anonimo, dal momento che il sistema di autenticazione si basa sul riconoscimento di dispositivi mobili e quindi collegati ad abbonamenti nominali. Tuttavia, eventuali critiche più strutturate si potranno fare soltanto quando nei prossimi mesi saranno rivelati maggiori dettagli su questo protocollo.