Da asporto chiave
- iCloud Passkey elimina le password e rende gli accessi molto più sicuri.
- WebAuthn è un browser standard per l'autenticazione senza password.
- Sia WebAuthn che iCloud Passkey utilizzano la crittografia a chiave pubblica per eseguire l'atto.
Con iCloud Passkey, Apple sta per rendere obsoleta la password. Finalmente.
Le password sono un grosso problema. Le password deboli o rubate sono alla base di oltre l'80% delle violazioni degli hacker e le persone sono semplicemente terribili nella gestione delle password. O li dimentichiamo, usiamo il nome dei nostri cani o bambini o usiamo la stessa password per tutto. I gestori di password come NordPass o iCloud Keychain possono aiutare, ma una password è ancora fondamentalmente insicura. Le chiavi di accesso nel portachiavi iCloud e il nuovo standard WebAuthn vogliono risolvere questo problema, ma possono davvero sostituire la password?
"Se Apple lo distribuirà come standard sui suoi dispositivi, milioni di persone ci si abitueranno e altri giganti della tecnologia come Google seguiranno l'esempio", ha detto a Lifewire Christen Costa, CEO di Gadget Review.
Chiavi pubbliche
Il problema con una password è che deve essere tenuta segreta, ma anche condivisa. Le chiavi di accesso iCloud utilizzano qualcosa chiamato crittografia a chiave pubblica. Questo è composto da due chiavi. La chiave pubblica può solo bloccare le cose, quindi è sicura da condividere; la chiave privata può sia bloccare che sbloccare i dati e non lascia mai il tuo dispositivo.
Quando ti iscrivi a un sito Web o servizio utilizzando iCloud Passkeys o WebAuthn, viene generata una nuova coppia di chiavi e la chiave pubblica viene condivisa con il servizio, al posto di una password. Il problema è che dovrai utilizzare uno dei tuoi dispositivi per accedere, ma in pratica raramente sarà un problema e i vantaggi in termini di sicurezza sono enormi. E se utilizzi già un gestore di password e l'autenticazione a due fattori, sei già su un dispositivo che esegue l'app di gestione delle password.
Un altro problema, tuttavia, è che se un utente malintenzionato si impossessa del tuo dispositivo e riesce ad accedervi, tutte le scommesse sono annullate. Tuttavia, i dispositivi iOS e Mac moderni sono molto difficili da decifrare e rubare un telefono è molto più faticoso dell'invio di e-mail di phishing.
Le chiavi di accesso nel portachiavi iCloud sono facili
Utilizzare le passkey nel portachiavi iCloud è semplice. Quando ti registri per un nuovo account utente su un sito Web, inserisci un indirizzo e-mail e il tuo iPhone ti chiederà di confermare che stai creando un account. Questo è tutto. La nuova passkey viene archiviata nel tuo portachiavi e la parte pubblica viene archiviata dal sito Web.
La grande differenza è che la chiave pubblica è progettata per essere pubblica. Non ha bisogno di essere nascosto o tenuto segreto. Se il sito Web viene violato, rubare tutte queste chiavi pubbliche è inutile, perché non faranno nulla. Quelle massicce violazioni delle password di cui leggi ogni poche settimane? Saranno un ricordo del passato.
"Se esaminiamo come funzionano le password oggi, prima inserisci la tua password, poi di solito viene offuscata da qualcosa come hashing e s alting e l'hash salato risultante viene inviato al server", afferma Garrett Davidson di Apple in un WWDC sessione denominata "Sposta oltre le password". "Ora, sia tu che il server avete una copia del segreto, anche se la copia del server è offuscata, e siete entrambi ugualmente responsabili della protezione di quel segreto."
E il tuo Password Manager?
Questa tecnologia potrebbe sembrare fatale per le app di gestione delle password, ma fa poca differenza. La maggior parte degli utenti si affida già al gestore di password iCloud integrato.
Gli utenti esperti, il tipo di persone a cui piacciono le funzionalità extra e stanno disaccoppiando le password dal proprio ID Apple, continueranno a utilizzare app standalone.
Se Apple lo distribuirà come standard sui suoi dispositivi, milioni di persone si abitueranno e altri giganti della tecnologia come Google seguiranno l'esempio.
"Nessuno vuole più concorrenti, ma tali soluzioni integrate non sono l'obiettivo principale del browser", afferma Chad Hammond, esperto di sicurezza di Nordpass. "Pertanto, non risolvono gli stessi problemi globali dei gestori di password. La funzione principale di un browser è fornire all'utente l'accesso alle informazioni e un gestore di password è solo una delle tante funzionalità che offre. Nei gestori di password dedicati, è la caratteristica principale."
D' altra parte, la portata di Apple può mettere questa nuova tecnologia di autenticazione in molte mani, il che è una vittoria per tutti. I pagamenti contactless esistevano prima di Apple Pay, ma sono decollati negli Stati Uniti solo dopo che Apple lo ha aggiunto all'iPhone. Le password non scompariranno presto, ma finalmente abbiamo un' alternativa che è intrinsecamente sicura, facile da usare e non ti permette di usare il nome del tuo cane. Di nuovo.
