Un mondo senza password
Sapete che c'è di nuovo? Finalmente riuscirete a liberarvi delle password.
Noi informatici ci abbiamo provato in tutte le salse. Abbiamo detto alla gente comune "scegliti una password" e tutti quanti hanno scritto la nome della moglie, oppure la parola "password", al massimo un paio di individui stravaganti ci hanno messo "forzajuve".E poi l'hanno usata —immutata — dappertutto, su un milione di siti, da quello della banca a quello del «Club amici di Paperinik». Col risultato che quando uno hacker (di 12 anni, tipicamente) riesce a penetrare nel sito del club di Paperinik ha delle password valide anche per il sito della banca.
Quando noi informatici gli abbiamo risposto "ma no, è troppo semplice", facciamo che deve esserci almeno una cifra", tutti hanno fatto spallucce e hanno aggiunto 1 in fondo alla password banale.
"Metteteci una maiuscola almeno!", e hanno capitalizzato al prima lettera. "Un simbolo alfanumerico, perdiana!" e tutti come una sola pecora hanno infilato il punto esclamativo in fondo.
In un mondo in cui il dieci percento degli account si sbloccano con "Password123!" finalmente si è deciso di cambiare cavallo. E dall'anno prossimo, gradualmente, le password verranno finalmente messe in pensione.
L'iniziativa parte da (in ordine alfabetico) Apple, Google e Microsoft. Non a caso, le tre case che producono i tre browser per il web più usati al mondo, rispettivamente Safari, Chrome ed Edge.
Entro la fine del 2022, Apple e Microsoft rimpiazzeranno il loro attuale log-in di accesso ai loro servizi perché rieccheggi quello introdotto da Google Chrome per chi ha un cellulare Android. In sostanza esso prevede che si tenga lo smartphone vicino al computer, e il browser attiva Bluetooth e verifica la presenza del cellulare. L'inserimento della password, poi, completa il log-in.
Ma nel nuovo mondo senza password, gli utenti si autenticheranno non con password più sbandieramento dello smartphone, bensì con sbandieramento e autenticazione biometrica. Cioè, in parole povere, facendosi riconoscere la faccia (iPhone X e superiori, iPad Pro, Google Pixel 6, Samsung Galaxy S21 e superiore, Huawei Mate 30 Pro), o con l'impronta digitale (gli smartphone di fascia media) o — pare — con riconoscimento del timbro vocale (smartphone di fascia bassa).
Dall'anno prossimo le tre case estenderanno il metodo di autenticazione alle terze parti. Per gli sviluppatori — per esempio, per chi scrive commerci elettronici come noi di Accomazzi.net — la cosa funzionerà come una naturale evoluzione dell'attuale sistema "autenticazione con un social network" (tecnicamente: OAuth), in cui il visitatore di un sito web non sceglie una password specifica per quel sito ma usa le sue credenziali Google, o Facebook, o Twitter, o Apple, o... Più uno strato software che usa una diversa tecnologia attuale, quella tecnicamente chiamata WebAuthn e che già oggi consente l'uso dell'autenticazione biometrica.
Se non l'avete mai provata: collegatevi a https://dev.accomazzi.net/sarat/ e provate a entrare con username mazzi e password Quora. Vi viene chiesto di identificarvi con la mia impronta digitale.