I cyber capi del Regno Unito sostengono le passkey invece delle password

Per decenni, le password sono state il principale meccanismo di controllo delle nostre identità digitali, proteggendo qualsiasi cosa, dagli account di posta elettronica alle credenziali bancarie. Tuttavia, il National Cyber ​​Security Center (NCSC) del Regno Unito ha ora emesso una raccomandazione significativa che potrebbe rimodellare radicalmente il modo in cui affrontiamo la sicurezza degli account online. L'organizzazione ha dichiarato pubblicamente che l'era dell'autenticazione basata su password potrebbe volgere al termine, sostenendo invece il passaggio alle passkey come metodo di autenticazione superiore per il futuro.

Questa approvazione da parte di una delle autorità leader nel campo della sicurezza informatica a livello mondiale rappresenta un importante punto di svolta nella battaglia in corso contro le minacce digitali. Poiché gli attacchi informatici continuano ad evolversi in sofisticazione e frequenza, le linee guida dell'NCSC hanno un peso sostanziale nell'influenzare sia le politiche di sicurezza aziendali che il comportamento dei consumatori. La raccomandazione riflette le crescenti preoccupazioni circa le vulnerabilità intrinseche dei sistemi di password tradizionali, che si sono rivelati sempre più suscettibili agli attacchi di phishing, al furto di credenziali e ai tentativi di hacking con forza bruta.

L'abbandono delle password era stato previsto da anni dai professionisti della sicurezza informatica, ma l'approvazione formale dell'NCSC fornisce il sostegno istituzionale necessario per accelerare questa transizione. Raccomandando pubblicamente le passkey, l’organizzazione sta essenzialmente segnalando che la tecnologia è sufficientemente matura da fungere da sostituto pratico dell’infrastruttura delle password su cui fanno affidamento miliardi di persone a livello globale. Si prevede che questa dichiarazione incoraggi le principali aziende tecnologiche, istituti finanziari e fornitori di servizi a dare priorità all'implementazione della passkey nelle loro piattaforme.

Che cosa sono esattamente le passkey e perché gli esperti di sicurezza informatica le considerano superiori alle password tradizionali? Le passkey rappresentano un ripensamento fondamentale del funzionamento dell'autenticazione digitale. Invece di fare affidamento su sequenze di caratteri memorizzate che gli utenti devono digitare ogni volta che accedono a un account, le passkey sfruttano la tecnologia crittografica per creare una connessione sicura tra un dispositivo e un servizio online. Questo approccio elimina del tutto la necessità per gli utenti di ricordare password complesse, sostituendole con qualcosa di molto più sicuro: coppie di chiavi crittografiche.

Sostanzialmente, le passkey funzionano attraverso la crittografia asimmetrica, che è la stessa sofisticata tecnologia matematica che protegge le comunicazioni governative e militari. Quando un utente crea una passkey per un particolare servizio, il suo dispositivo genera due chiavi matematicamente collegate: una chiave pubblica, che viene condivisa con il fornitore del servizio, e una chiave privata, che rimane esclusivamente sul dispositivo dell'utente. Questa separazione è fondamentale perché significa che il fornitore di servizi non detiene mai effettivamente le informazioni che potrebbero essere utilizzate per impersonare l'utente, anche se i suoi server venissero violati.

L'esperienza pratica dell'utilizzo di una passkey è notevolmente più semplice e intuitiva rispetto alla digitazione delle password. Quando accede a un account, un utente approva semplicemente la richiesta di accesso tramite il proprio dispositivo utilizzando il metodo di verifica già impostato: potrebbe trattarsi di una scansione delle impronte digitali, del riconoscimento facciale o di un codice PIN. Ciò significa che l'autenticazione con passkey combina la comodità della sicurezza biometrica con la forza crittografica senza precedenti che rende praticamente impossibile per gli hacker compromettere gli account tramite metodi di attacco tradizionali. La tecnologia funziona perfettamente su tutti i dispositivi che condividono lo stesso ecosistema e molti sistemi di passkey possono sincronizzarsi automaticamente su più dispositivi.

Uno dei vantaggi più convincenti delle passkey è la loro immunità ai tipi di attacchi che affliggono i sistemi basati su password. Gli attacchi di phishing, che inducono gli utenti a rivelare le proprie password su siti Web fraudolenti, diventano inefficaci perché le passkey vengono automaticamente convalidate rispetto a nomi di dominio specifici: una chiave non può essere utilizzata per autenticarsi su qualsiasi sito Web diverso da quello per cui è stata creata. Questa protezione tecnologica contro il phishing rappresenta un salto di qualità in termini di sicurezza rispetto alle password, che possono essere rubate e riutilizzate su più piattaforme se gli utenti si sono impegnati nel riutilizzo delle password, una pratica che rimane preoccupantemente comune.

Inoltre, le passkey eliminano la finestra di vulnerabilità creata dal credential stuffing e dagli attacchi di forza bruta. Questi attacchi si basano sul fatto che gli hacker tentano migliaia di combinazioni di password per ottenere un accesso non autorizzato, un metodo che diventa completamente inefficace contro gli account protetti da passkey. Poiché le chiavi di accesso funzionano attraverso la verifica crittografica anziché la corrispondenza di modelli, non esiste alcuna vulnerabilità a questi approcci di attacco volumetrico che si sono rivelati così efficaci contro i sistemi protetti da password.

La raccomandazione dell'NCSC affronta anche i notevoli oneri di sicurezza che la gestione delle password impone agli utenti. Molte persone hanno difficoltà a gestire le password, creando password deboli, riutilizzandole su più siti o annotandole in luoghi non sicuri. Questo elemento umano nella gestione delle password si è costantemente dimostrato un punto debole critico nelle difese della sicurezza informatica. Le passkey eliminano l'intera categoria di errori umani eliminando in primo luogo l'obbligo per gli utenti di ricordare o gestire le password.

Diverse importanti aziende tecnologiche hanno già iniziato a implementare il supporto della passkey sulle proprie piattaforme, riconoscendo sia i vantaggi in termini di sicurezza che i vantaggi pratici per gli utenti. Apple, Google e Microsoft hanno tutte integrato la funzionalità passkey nei loro sistemi operativi e servizi online, creando un ecosistema in cui gli utenti possono gradualmente abbandonare l'autenticazione basata su password. Questo slancio suggerisce che la transizione tecnologica prevista dall'NCSC potrebbe avvenire più rapidamente di quanto inizialmente previsto dagli scettici.

Tuttavia, il passaggio alle passkey non avverrà dall'oggi al domani. I sistemi legacy privi di supporto per la passkey continueranno a richiedere password per il prossimo futuro, il che significa che gli utenti dovranno probabilmente mantenere un approccio ibrido per diversi anni. La raccomandazione dell'NCSC è progettata per accelerare gli sforzi di migrazione tra i fornitori di servizi, preparando allo stesso tempo gli utenti ad adattarsi a questo nuovo paradigma di autenticazione. Si prevede che le organizzazioni che conservano dati sensibili degli utenti diano la priorità all'implementazione della passkey come parte della loro roadmap di sicurezza.

Le implicazioni di questo cambiamento si estendono oltre i singoli utenti per comprendere implicazioni più ampie per la sicurezza informatica organizzativa. Le aziende che implementano sistemi di autenticazione senza password possono ridurre in modo significativo la superficie di attacco presa di mira dagli aggressori, rendendo impossibili violazioni su larga scala che espongono le credenziali attraverso i tradizionali metodi di furto delle password. Ciò potrebbe rappresentare una riduzione fondamentale della frequenza e della gravità delle principali violazioni dei dati che hanno afflitto le aziende di ogni settore industriale.

Mentre l'NCSC continua a sostenere questa transizione in materia di sicurezza, le organizzazioni e gli individui si trovano di fronte a una scelta importante su come adattarsi alle minacce in evoluzione e alle capacità tecnologiche. La raccomandazione di adottare le passkey non è semplicemente un suggerimento, ma un riconoscimento del fatto che il panorama della sicurezza è radicalmente cambiato. Per coloro che si preoccupano di proteggere la propria identità digitale e di mantenere una solida sicurezza contro le minacce informatiche contemporanee, comprendere e adottare la tecnologia delle passkey rappresenta un passo significativo verso una maggiore protezione in un ambiente digitale sempre più pericoloso.