Cosa sono gli accessi senza password? Sono realmente sicuri?
Annuncio pubblicitario
Le password sono fondamentali per la sicurezza di Internet. Ma con così tanti servizi, sia online che offline, tenere traccia delle password è difficile. I sistemi di accesso senza password stanno iniziando a decollare, eliminando il requisito di inserire una password ogni volta che si accede a un servizio.
Ma se non stai usando una password, come proteggi il tuo account? Cosa sono gli accessi senza password e sono sicuri?
Che cos'è un accesso senza password?
Gli accessi senza password sono sistemi di autenticazione che utilizzano alternative a una password per consentire l'accesso al tuo account. Ad esempio, anziché una password, si riceve una notifica e-mail che funge da token di accesso. In alternativa, potresti ricevere un pop-up sul tuo smartphone che ti consente di controllare l'accesso a un account.
In questo, l'accesso senza password utilizza spesso una forma di autenticazione preesistente per garantire la tua identità.
Potresti aver già riscontrato accessi senza password utilizzando il tuo account Gmail. Invece di dover inserire la password ogni volta che accedi, Google può inviare una richiesta direttamente al tuo telefono. Il prompt mostra l'ora e la posizione del tentativo di accesso, con l'opzione per approvare o negare l'accesso.
Come funziona un accesso senza password?
Quando accedi a un sito Web, devi fornire una password per sbloccare il tuo account. La password è nota solo a te e al sito, proteggendo il tuo account. Sei sicuro che il sito manterrà la tua password sicura, la memorizzerà in modo sicuro e che il sito stesso non è vulnerabile.
Inoltre, sicuramente usi già password complesse e uniche per ogni sito e servizio, perché questa è la pratica più sicura.
Tuttavia, è quest'ultimo che è diventato difficile. La creazione di una password complessa monouso per ciascun sito ha permesso agli utenti di creare password facilmente memorabili ma terribili. E anche se crei una password sicura, uno sguardo al numero di violazioni dei dati ogni mese potrebbe compromettere i tuoi sforzi.
Con l'autenticazione senza password, non devi fidarti del sito Web con una password. Invece di inserire una password ogni volta, gli accessi senza password utilizzano diversi metodi di autenticazione.
Autenticazione senza password basata su e-mail
Il sistema di accesso senza password più comune è attualmente via e-mail. Molti utenti troveranno l'accesso senza password basato su e-mail il sistema più familiare, che funziona in modo simile a una reimpostazione della password.
Quando si tenta di accedere, si fornisce un indirizzo e-mail. Il servizio invia un'e-mail sicura all'indirizzo associato all'account e l'e-mail contiene un collegamento magico monouso sicuro per inserire l'account del servizio. Il collegamento magico include un token di accesso univoco che il servizio verifica, scambiandolo con un token di convalida di lunga durata.
Esistono altre varianti nel sistema di posta elettronica. Ad esempio, nel caso di un account esistente, il servizio può inviare all'utente un codice chiave DKIM monouso legato ai dettagli del proprio account. L'utente riceve il codice DKIM e lo inserisce nel sito. Il sito verifica il codice rispetto ai dettagli dell'utente esistente e completa il processo di accesso.
Accesso senza password basato su SMS
In questo caso, l'utente inserisce un numero di telefono valido. Il servizio invia un codice monouso al numero di telefono. L'utente può quindi accedere al servizio. In alternativa, alcuni servizi offrono di "chiamare il robo" l'utente, in cui un servizio di sintesi vocale leggerà direttamente il codice.
La sicurezza degli SMS è sotto esame, tuttavia. La stragrande maggioranza di noi ha poco di cui preoccuparsi. Ma diversi individui di alto valore (in particolare quelli con grandi volumi di criptovalute) hanno subito attacchi SMS sim-hacking. Scopri con precisione cos'è un attacco sim-swap e come ti proteggi da ciò Che cos'è lo scambio di schede SIM? 5 consigli per proteggersi da questa truffa Che cos'è lo scambio di schede SIM? 5 consigli per proteggersi da questa truffa Con l'aumento dell'accesso all'account mobile e 2FA per la sicurezza, lo scambio di carte SIM è un rischio crescente per la sicurezza. Ecco come fermarlo. Leggi di più .
Accesso senza password biometrico
Alcuni metodi di accesso senza password utilizzano i servizi di scansione biometrica per autenticare la tua identità. I servizi di autenticazione biometrica sono presenti su più dispositivi che mai. (Dovresti passare a un servizio biometrico per il tuo smartphone?)
L'idea è che quando si desidera accedere a un sito, sullo smartphone viene visualizzato un messaggio. Sblocchi lo smartphone utilizzando il tuo sistema biometrico preferito e lo sblocco funge da verifica per la tua identità.
Tuttavia, a parte il Face ID di Apple (per dispositivi inclusi e prodotti dopo iPhone X, iPad Pro di terza generazione e iPod Touch di settima generazione), la scansione biometrica dei dispositivi mobili non è completamente sicura.
L'hardware di scansione del volto di altri produttori non è così avanzato e viene ingannato usando una fotografia, mentre per ingannare il Face ID di Apple è necessaria una testa completamente stampata e dipinta in 3D. In altri casi, gli scanner di impronte digitali consentono il riconoscimento parziale 5 Ways Hackers Bypass Scanner di impronte digitali (come proteggersi) 5 Ways Hackers Bypass Scanner di impronte digitali (come proteggersi) Pensi che il tuo lettore di impronte digitali renda sicuro il tuo dispositivo? Pensa di nuovo! Ecco 5 modi per hackerare gli scanner di impronte digitali. Maggiori informazioni per sbloccare un dispositivo.
Al momento, un sistema di accesso senza password biometrico probabilmente non è l'opzione migliore. In futuro, tuttavia, potrebbe diventare l'opzione migliore.
Chiave fisica Accesso senza password
Le chiavi di sicurezza fisiche offrono un'altra opzione di autenticazione con accesso senza password. Una chiave di sicurezza fisica è una chiave di sicurezza USB speciale. Quando si desidera accedere al proprio account, si collega la chiave di sicurezza al computer. Il servizio online convalida il tuo account tramite la chiave di sicurezza, eliminando la necessità di una password.
I primi esempi di una chiave di sicurezza fisica includono la serie Titan di Google e la serie Yubikey di Yubico.
Gli accessi senza password sono un'autenticazione a due fattori?
Sì e no.
Sì, un accesso senza password è simile all'autenticazione a due fattori (2FA) in quanto accedi al tuo account utilizzando un metodo di autenticazione alternativo. 2FA funziona proteggendo il tuo account utilizzando due fattori separati, in genere una password e un dispositivo separato.
No, non è lo stesso perché, sebbene tu stia utilizzando un dispositivo separato per autenticare il tuo account, è comunque solo un singolo fattore.
Un accesso senza password è più sicuro?
Qualcosa che impedisce agli utenti di creare password terribili è buono, giusto? Gli accessi senza password rimuovono un altro punto di errore dall'utente finale. Al momento, gli accessi senza password non sono molto diffusi. Diversi servizi principali li stanno utilizzando, come Gmail (come menzionato sopra) e Slack Magic Links.
Il più grande positivo per i proprietari di siti Web e i moderatori è l'improvvisa mancanza di dover gestire le password degli utenti. Le password non crittografate archiviate in un file in chiaro sono roba da incubi; è roba da sogno per un hacker. Anche gli utenti che accedono raramente a un servizio non dovrebbero passare attraverso il rigmarole "reimposta la password".
Gli accessi senza password potrebbero anche aiutare gli utenti ad accedere rapidamente al servizio. Al contrario, se si è regolarmente disconnessi dal servizio, dover autorizzare nuovamente via e-mail o SMS potrebbe diventare irritante, a seconda del periodo di tempo.
Per ora, usa un gestore di password
Gli accessi senza password impiegheranno del tempo a diventare mainstream. La palla però sta rotolando. La maggior parte dei browser principali (tutti tranne Safari) supporta l'accesso senza password di un tipo o di un altro. A febbraio 2019, Google ha anche annunciato che i dispositivi che eseguono Android 7 (ovvero Android Nougat) o versione successiva riceveranno anche il supporto per l'accesso senza password.
Ciò significa supporto per l'accesso senza password per quasi il 50 percento di tutti i dispositivi Android. E gli standard di accesso senza password come FIDO2 e WebAuthn continueranno a ricevere aggiornamenti, garantendo ulteriormente il metodo di autenticazione.
Al momento della scrittura, hai ancora bisogno di una password. È necessaria una password complessa e monouso. Con questo in mente, perché non considerare l'uso di un gestore di password I migliori gestori di password per ogni occasione I migliori gestori di password per ogni occasione Lottando per ricordare le tue password sempre più elaborate? È tempo di fare affidamento su uno di questi gestori di password gratuiti oa pagamento! Leggi di più ?
Ulteriori informazioni su: sicurezza online, password.
