World Password Day. Basta con le vecchie password. Ora ci sono le passkey

-

 Il World Password Day, la Giornata internazionale delle Password, viene celebrato ogni anno il primo giovedì del mese di maggio ed è un’occasione per rinfrancare la cultura della sicurezza online e offline.

Il sito internazionale del World Password Day pubblica questi suggerimenti per rendere più sicure le password anche sui social media:

  • cambiare una vecchia password con una lunga e complessa
  • attiva l’autenticazione a due fattori per i tuoi account importanti
  • proteggere con password il router wireless
  • non memorizzare le password sul computer o sul telefono
  • disconnettiti quando hai finito con un programma
  • rimuovere periodicamente i file Internet temporanei

Ma oggi le password andrebbero sempre eliminate e sostituite con le passkey, ora vi spieghiamo perché.

“Password: abbiamo sbagliato tutto”: così titola Peppe Croce, giornalista dal 2008, che si occupa di device elettronici e nuove tecnologie, sulla pagina di Libero Tecnologia. “Anche quest’anno si celebra il World Password Day e anche quest’anno scopriamo (ma non ci voleva molto a immaginarlo) che con le password continuiamo a sbagliare tutto. Dall’ormai consueta lista delle password più usate al mondo stilata da NordPass, con relativo tempo necessario per forzarle, scopriamo la sconsolante non novità che la password più usata al mondo è sempre la stessa …. password”.

Le 10 password più usate

NordPass è un password manager, cioè un software che serve per archiviare le password degli utenti e per inserirle in modo automatico nei siti che l’utente visita. Per questo motivo NordPass non conosce realmente tutte le password usate al mondo, ma solo quelle dei suoi clienti. Tuttavia, è un ottimo termometro della situazione visto che questo software è usato praticamente in tutto il mondo, motivo per cui la sua lista delle password più usate a livello globale è sempre (tristemente) interessante da leggere. Anche perché NordPass inserisce anche la stima del tempo necessario ad un hacker per trovare e forzare, con appositi software, ognuna delle password elencate.

Ecco la lista delle password più usate al mondo (aggiornata ai dati 2022), con i relativi tempi necessari per decifrarle:

  1. password – < 1 secondo
  2. 123456 – < 1 secondo
  3. 123456789 – < 1 secondo
  4. guest – 10 secondi
  5. qwerty – < 1 secondo
  6. 12345678 – < 1 secondo
  7. 111111 – < 1 secondo
  8. 12345 – < 1 secondo
  9. col123456 – 11 secondi
  10. 123123 – < 1 secondo

“Nella migliore delle ipotesi, quindi, servono non più di 11 secondi per decifrare la password. Nell’80% dei casi, però, basta meno di un secondo” conclude tristemente il sito di di Libero Tecnologia.

Le passkey

Le password si sono evolute nel tempo, con le aziende che ne richiedono di più lunghe e complesse per far fronte alla maggiore sofisticazione degli hacker che tentano di entrare negli account. L’autenticazione a due fattori è apparsa anche come un modo per rafforzare la sicurezza, richiedendo un po’ più lavoro da parte dell’utente e coinvolgendo app, messaggi di testo, chiavi hardware e altro. Ma sta finalmente arrivando il giorno in cui le password non saranno più un elemento fisso della nostra vita digitale?

Passkey e il nuovo standard

Invece di fare affidamento su una combinazione di nome utente e password, passkey consente di convalidare l’identità direttamente dal dispositivo utilizzando i dati biometrici (impronta facciale o impronta digitale) o il PIN. Ciò che accade dietro le quinte è crittograficamente sicuro, consentendo di evitare i rischi derivanti dall’uso di password deboli.

Passkey e password: qual è la differenza?

L’ovvia differenza è che le passkey non richiedono una combinazione di nome utente e password per accedere all’account. Basta un nome utente e al posto della password interviene il proprio smartphone abbinato all’impronta digitale, o al riconoscimento facciale tramite l’immagine del proprio viso (o anche il vecchio classico PIN). E basta una connessione Bluetooth se proprio si vuole eseguire l’autenticazione tramite un altro dispositivo (ad esempio, un laptop). Tutto molto facile, ma soprattutto le passkey sono più sicure. Non c’è nemmeno bisogno di ricordare astruse sequenze di numeri e lettere… la nostra impronta digitale  è sempre con noi

Le password possono essere violate oppure scoperte tramite attacchi di phishing, quando gli utenti vengono indotti a cedere i propri accessi ai criminali informatici. Le passkey non sono soggette ai principali rischi associati all’impostazione delle password. Perché qualcuno non autorizzato possa accedere, dovrebbe aver sottratto lo smartphone abbinato, ma anche in questo caso, senza i dati biometrici (o PIN) non sarebbe in grado di ottenere l’accesso. L’utilizzo di passkey significa che anche le violazioni dei dati di un server aziendale non compromettono l’accesso del singolo utente: la singola password non esiste sulla piattaforma. Possono rubare un dispositivo, ma non sanno che impronta digitale è abbinata.

Come funzionano le passkey?

Le passkey utilizzano metodi crittografici per autenticare l’identità. Creata utilizzando un algoritmo, ogni passkey è crittograficamente forte e unica. Quando si imposta un account utilizzando una passkey, vengono generate due chiavi: una chiave pubblica e una chiave privata. Entrambe sono necessarie per accedere all’account. La chiave pubblica è memorizzata sul server e non è segreta. La chiave privata è ciò che è necessario per accedere. Il server non apprende mai qual è la chiave privata. Quando si accede, l’identità dell’utente viene autenticata sul dispositivo tramite dati biometrici (o PIN) e la chiave privata autentica l’utente sull’account. Non viene trasmesso alcun segreto condiviso e il server non ha bisogno di proteggere la chiave pubblica.