Giornata mondiale della password: quali alternative?
La Giornata mondiale delle password si svolge ogni anno il primo giovedì di maggio. Si chiede di utilizzare password forti, possibilmente con autenticazione a due fattori, e di gestire i dati di accesso in modo responsabile. Cinque alternative alla password.
Autenticazione biometrica, "zero login" basato su modelli di comportamento individuali, impianti di microchip, login con onde cerebrali ("brain password") o soluzioni di autenticazione basate sul DNA: queste sono le alternative alle password secondo gli esperti di sicurezza informatica di BullGuard.
Il rischio password
Non sono rari i casi di hackeraggio o fuga di dati in cui vengono divulgati o rubati milioni di dati, comprese le password. Il mercato illegale dei dati di accesso e delle password è fiorente nella darknet. Una truffa molto diffusa per l'utilizzo di dati altrui si chiama "credential stuffing". Gli indirizzi e-mail e le password delle piattaforme online più diffuse vengono provati automaticamente con un software speciale fino a quando non viene trovato un riscontro. Questo significa la fine della password a lungo termine? Come si autenticano le persone tra cinque anni? Alcuni metodi alternativi di login sicuro esistono già oggi, e allo stesso tempo la ricerca trova sempre nuovi modi e possibilità. Le cinque alternative alla password sono presentate di seguito:
- Dati biometrici
Scanner retina, sensore di impronte digitali, riconoscimento vocale e facciale sono oggi le applicazioni più comuni dell'autenticazione ID. La più diffusa è l'iscrizione tramite impronte digitali e riconoscimento facciale. Ad esempio, presso alcuni fornitori di servizi finanziari è già possibile collegare un selfie a una carta di debito o di credito. Tuttavia, l'autenticazione biometrica ha una debolezza cruciale: solo un volto, due retine e dieci impronte digitali sono disponibili per tutti. Sono di fatto la password che non può essere ripristinata se compromessa. Nel 2015, ad esempio, è stato violato un database contenente le impronte digitali di 5,6 milioni di dipendenti federali statunitensi.
- Zero login
Lo zero login è l'uso di caratteristiche comportamentali uniche, come i modelli di digitazione individuali, la pressione esercitata sullo schermo o sui pulsanti, la posizione e l'occupazione per verificare l'identità. In base a queste caratteristiche, gli utenti accedono alle applicazioni e ai servizi online senza effettuare attivamente il login. Solo se un modello è diverso da quello dell'utente, il dispositivo chiede una password o un'altra autenticazione. Il problema è: il logout è avvenuto con successo? Inoltre, non è chiaro dove vengano conservati i dati comportamentali raccolti e come vengano protetti.
- Impianti di microchip
L'impianto di un microchip sotto la pelle che corrisponde a una password o a una chiave non è un'idea nuova. Recentemente, però, alcune aziende hanno iniziato a offrire questa opzione ai propri dipendenti. Password e chiavi diventano superflue con il microchip. Le porte, così come i computer, possono essere aperti o azionati tramite la scansione della mano scheggiata.
- Password del cervello
Il "Brain Password" è una visualizzazione digitale dell'attività cerebrale durante la visione di una serie di immagini e oggetti diversi. In primo luogo, per l'identificazione vengono richiesti i dati del passaporto, le impronte digitali o la scansione del volto. Quindi, l'attività cerebrale in risposta a stimoli specifici viene misurata mediante sensori. Il risultato è una struttura cerebrale unica che rappresenta una password cerebrale - unica e non replicabile.
- Identificazione del DNA
Anche l'identificazione tramite DNA è realistica: in Qatar e in Estonia vengono già raccolti i valori del DNA dei cittadini per individuare e prevenire potenziali problemi di salute. Su piattaforme di social media come OpenSNP, gli utenti condividono pubblicamente il proprio DNA per scopi scientifici. L'utilizzo del DNA personale come elemento di autenticazione non è più così lontano.
Alternative - il problema rimane praticamente lo stesso
Al momento non è chiaro quale delle alternative presentate prevarrà. Ma è già chiaro che tutti hanno un difetto cruciale: Non c'è alcuna garanzia che i dati siano archiviati in modo sicuro e protetti dagli attacchi degli hacker. Il problema rimane quindi lo stesso. L'unica differenza è che è quasi impossibile imitare i nuovi metodi di autenticazione.
Paul Lipman, CEO di BullGuard, prevede che l'importanza delle caratteristiche biometriche crescerà: "Le password continueranno a svolgere un ruolo in futuro. Tuttavia, saranno integrati da altre funzioni di sicurezza come l'identificazione biometrica e l'autenticazione a due fattori".
Una password separata per ogni account
Anche se in futuro verranno introdotti ulteriori livelli di sicurezza, i requisiti elevati per le password rimangono. Pertanto, è sempre importante scegliere una password forte per ogni account e cambiarla regolarmente. Una buona password comprende almeno dieci caratteri ed è una combinazione difficile da seguire di numeri, lettere e simboli. L'etichetta di password mondiale è quindi giustificata anche in tempi di impronte digitali e riconoscimento facciale.
Fonte: BullGuard