La password non sta morendo
L'anno scorso, c'erano articoli di notizie in circolazione su internet che affermavano che le grandi aziende tecnologiche si stavano unendo per eliminare le password. Alcune startup hanno addirittura dichiarato che le password erano obsolete e superate.
Founder
Introduzione
L'anno scorso, c'erano articoli di notizie in circolazione su internet che affermavano che grandi aziende tecnologiche come Apple, Google e Microsoft si stavano unendo per eliminare le password. Alcune startup hanno addirittura dichiarato che le password erano obsolete e superate. Dopo essermi immerso nel mondo della gestione dell'identità per mesi, ho iniziato a mettere in dubbio la validità e la praticità di queste affermazioni.
Cosa fa una password?
A prima vista, la risposta sembra ovvia: le password vengono utilizzate per accedere e verificare le identità. Tuttavia, ho un punto di vista diverso se consideri il fatto che le password non possono davvero verificare chi sei:
- Quando un utente accede a un sito web con un'email e una password, il sito web non ha modo di confermare la persona reale dietro queste credenziali. Potrebbe essere un essere umano o addirittura un gatto.
- Chiunque può sbloccare un iPhone con il PIN corretto.
In realtà, lo scopo di una password è quello di dimostrare in modo anonimo la proprietà di qualcosa: un account utente, un dispositivo o l'accesso a una porta.
Gli attuali "killer delle password"
Le aziende menzionate in precedenza hanno proposto vari "killer delle password". Molti affermano di essere alternative più sicure che eliminano la necessità per gli utenti di ricordare password complesse e statiche durante l'autenticazione. Tuttavia, la maggior parte di queste alternative non è del tutto pratica per rimuovere completamente le password.
Autenticazione FIDO
L'autenticazione [FIDO] (https://fidoalliance.org/) (Fast Identity Online), come spiegato nella [documentazione ufficiale] (https://fidoalliance.org/how-fido-works/), utilizza tecniche di crittografia di chiave pubblica per la registrazione e l'accesso (vale la pena notare che [WebAuthn] (https://www.w3.org/TR/webauthn-2/) è una componente chiave delle specifiche FIDO2). In superficie, il processo sembra interessante:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M218.297%2c35L222.464%2c35C226.63%2c35%2c234.964%2c35%2c242.63%2c35C250.297%2c35%2c257.297%2c35%2c260.797%2c35L264.297%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M503.031%2c35L507.198%2c35C511.365%2c35%2c519.698%2c35%2c527.365%2c35C535.031%2c35%2c542.031%2c35%2c545.531%2c35L549.031%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M759.797%2c35L763.964%2c35C768.13%2c35%2c776.464%2c35%2c784.13%2c35C791.797%2c35%2c798.797%2c35%2c802.297%2c35L805.797%2c35'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(113.1484375%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='210.296875' y='-27' x='-105.1484375' style='' class='basic label-container'/%3e%3cg transform='translate(-75.1484375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='150.296875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eInizia la registrazione%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(385.6640625%2c 35)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='234.734375' y='-27' x='-117.3671875' style='' class='basic label-container'/%3e%3cg transform='translate(-87.3671875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='174.734375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eApprovazione dell'utente%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(656.4140625%2c 35)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='206.765625' y='-27' x='-103.3828125' style='' class='basic label-container'/%3e%3cg transform='translate(-73.3828125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='146.765625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eCreata nuova chiave%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(880.7109375%2c 35)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='141.828125' y='-27' x='-70.9140625' style='' class='basic label-container'/%3e%3cg transform='translate(-40.9140625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='81.828125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eCompletato%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Semplice no? Purtroppo, c'è un ostacolo significativo lungo il cammino: la compatibilità. Rispetto alla tradizionale combinazione di "identificatore e password", l'autenticazione FIDO richiede:
- Siti web o app che supportano FIDO.
- Browser e/o sistemi operativi che supportano FIDO.
- Dispositivi dell'utente che hanno un meccanismo di verifica user-friendly.
L'incapacità di soddisfare uno qualsiasi di questi requisiti rende l'autenticazione FIDO indisponibile, costringendo a ricorrere ad altri metodi.
Inoltre, anche se tutte le condizioni sono soddisfatte, cosa qualifica come un "meccanismo di verifica user-friendly" su un dispositivo? Attualmente, potrebbe implicare metodi biometrici come il riconoscimento delle impronte digitali o del viso, accompagnato da un'opzione di fallback come un codice PIN, cioè una password. Alla fine, siamo riportati al punto di partenza.
Tecnicamente, non è un "killer di password" ma piuttosto un processo di autenticazione o verifica più sicuro e user-friendly protetto da password.
Password monouso
Anche se il nome include il termine “password”, le [password monouso] (https://en.wikipedia.org/wiki/One-time_password) (OTP) non sono password tradizionali perché sono dinamiche. Esistono due tipi popolari di OTP:
- Password monouso basata sul tempo (TOTP): Generata algoritmicamente utilizzando il tempo corrente come fonte di unicità. È comunemente utilizzato in [Autenticazione multi-fattore] (https://en.wikipedia.org/wiki/Multi-factor_authentication) (MFA) o 2FA.
- Password monouso SMS/Email: Generata sul server utilizzando algoritmi casuali. In alcuni paesi, è stata ampiamente adottata come metodo di accesso primario.
Le TOTP potrebbero non essere riconosciute ampiamente per nome. Ad esempio, quando un sito web ti sollecita a configurare MFA e usare un'app come Google Authenticator o Duo per scansionare un codice QR, stai molto probabilmente usando TOTP. Potresti aver notato anche che il sito web visualizza spesso un lungo "codice di recupero" e ti consiglia di salvarlo poiché verrà mostrato una sola volta. Alcuni siti web incoraggiano gli utenti a stamparlo su carta. In sostanza, questo codice di recupero funziona come una lunga password.
Per quanto riguarda le OTP SMS/Email, possono essere costose e non affidabili:
- Costruire un mittente SMS o email da zero richiede la configurazione.
- I mittenti di email devono stabilire una "[reputazione] (https://messagebird.com/guides/o/email-sender-reputation)" positiva per migliorare la consegnabilità, altrimenti, il mittente può essere segnato come spam.
- Ogni paese ha i suoi operatori di rete mobile, portando a tempi di consegna imprevedibili e costi notevoli per l'invio di SMS, in particolare per le startup.
Biometria
Il termine "biometria" si riferisce all'uso di metodi biometrici esclusivamente per l'autenticazione online. In realtà, c'è una differenza fondamentale rispetto ad altri metodi: l'autenticazione biometrica sposta l'originale compito di "provare la proprietà di qualcosa" a "provare chi sei". A causa delle preoccupazioni sulla privacy, i metodi biometrici sono utilizzati principalmente per l'autenticazione locale.
La password non è perfetta, però
Come possiamo vedere, i "killer delle password" stanno essenzialmente nascondendo le password o utilizzando le password come opzioni di fallback. Ecco un riepilogo dei vantaggi delle password basato sulla nostra discussione:
- Accessibilità e compatibilità: Le password possono essere utilizzate in vari sistemi e sono accessibili a una vasta gamma di utenti.
- Economia e versatilità: Le password sono in genere più economiche di altri metodi e adattabili a diversi scenari.
- Anonimato e privacy: Le password consentono un utilizzo anonimo e proteggono la privacy dell'utente.
Ma ogni medaglia ha due facce. Sebbene le password abbiano i loro vantaggi, affidarsi esclusivamente ad esse per l'autenticazione pone vulnerabilità significative. Possono essere impegnative da gestire per gli utenti finali e, se i proprietari dei siti web non seguono le pratiche di sicurezza adeguate, le password diventano facili da compromettere. Le pratiche di sicurezza pericolose includono, ma non sono limitate a:
- Consentire password deboli o trapelate.
- Mancanza di impiego di HTTPS per le connessioni.
- Uso di algoritmi di hash non sicuri.
- Mancanza di aderenza rigorosa a standard collaudati come OAuth o OpenID Connect (OIDC).
- Esposizione del database al pubblico.
Conclusione
Non intendo sminuire alcuno dei metodi di autenticazione sopra menzionati. Al contrario, mentre lavoro alla costruzione di Logto, ho sviluppato un profondo rispetto per questi notevoli metodi di autenticazione e per le persone dietro di loro.
Tuttavia, raggiungere il 100% di sicurezza è un obiettivo irraggiungibile. Ciò a cui possiamo aspirare è ridurre la possibilità di attacchi. Un approccio efficace consiste nel combinare l'autenticazione basata su password con password monouso in base al dispositivo o all'ambiente corrente, che aggiunge un ulteriore livello di verifica ed è stato ampiamente adottato. Sfruttando i punti di forza di diverse tecniche di autenticazione, possiamo creare un approccio stratificato che fornisce una protezione più forte.
In conclusione, piuttosto che concentrarsi su parole d'ordine come "killer di password" quando le password non vengono realmente eliminate, sarebbe più utile concentrarsi sul trovare un equilibrio tra sicurezza e user experience. Ciò comporta la comprensione dei punti di forza e delle limitazioni dei vari metodi di autenticazione e la loro implementazione in modo da garantire sia la sicurezza dei dati dell'utente che un'esperienza utente fluida.