Nell’articolo citato in calce Macitynet riferisce la seguente notizia:

Mai più password: Apple vuole risolvere una volta per tutte il problema
Apple sta lavorando su un meccanismo che permetterà di evitare la digitazione di password sfruttando una funzionalità denominata “passkey” per il Portachiavi iCloud, un sistema che prevede un meccanismo di autenticazione alla stregua di un token hardware, rendendo non più necessaria la memorizzazione delle password ma senza mettere a rischio dati sensibili […]

Buona l’intenzione, ovvero liberare gli utenti dalle password, che molti semplicemente non sanno o non vogliono gestire in modo prudente.

La tecnica usata però non mi convince perché è dotata di una sicurezza relativamente bassa. In pratica si basa sul riconoscimento biometrico, che però sappiamo non essere forte quanto un riconoscimento con password e autenticazione a due fattori.

Sarà probabilmente utile in quelle circostanze nelle quali non serve una autenticazione forte. Ma resto convinto che la soluzione vera e “definitiva” sia una nuova generazione di password manager. In pratica, app come quelle che sono già in commercio, che però dialogano direttamente, senza intermediazione umana, con siti, bancomat, oggetti iOT (tra i quali anche la vostra automobile) tramite un protocollo standard, interoperabile e ovviamente sicuro.

L’app dovrebbe agire su due fronti: da un lato controllare che l'”interlocutore” (il sito, un bancomat, ecc.) sia veramente lui, ponendo fine al phishing, poi verificare che non abbia subito una grave violazione dei dati diventando inaffidabile (magari mi sto davvero collegando al sito della mia banca, ma è stata violata e chiunque si collega finisce in una trappola), ecc.

Dall’altro lato dovrebbe evitare che l’utente digiti qualcosa, come l’indirizzo Internet o la password (perché tutti sappiamo che nei sistemi di sicurezza la parte vulnerabile è sempre l’essere umano), e dovrebbe rendere tutto così semplice che chiunque dovrebbe preferire un password manager per entrare nella sua identità digitale, sia per consultare la propria pagina Facebook, sia per fare un bonifico.

Ovviamente quello che ho scritto si può fare da anni. Tutto sta a volerlo fare.

L’articolo di Macitynet:

Previous articleOff-shore: la più grande truffa al mondo