Addio alle password, la svolta del sistema Microsoft

Dal banale 123456, al nome del cane, alla data di nascita o di un anniversario. Il mondo delle password, molto spesso grazie alla loro prevedibilità, è sotto attacco costante tanto che le ultime ricerche parlano di una media di 579 tentativi di furto di credenziali ogni secondo, 18 miliardi all'anno. E sempre più aziende lavorano sulla doppia autenticazione ma anche sul riconoscimento biometrico, cioè lo sblocco di un dispositivo basandosi sulla unicità degli elementi del corpo umano.

Ora Microsoft fa di fatto un passo oltre, eliminando proprio la necessità di ricordarsi le password. L'azienda di Redmond ha infatti esteso a tutti i suoi utenti l'applicazione Authenticator, lanciata lo scorso marzo solo per gli utenti business. Si tratta di un'app, per iOS e Android, che una volta scaricata cancella in automatico le varie password salvate sul profilo Microsoft. Se si vuole accedere, invia al numero di cellulare registrato o all'indirizzo email un codice temporaneo da inserire in fase di autenticazione. Un buon modo per liberarsi della necessità di doversi ricordare decine di parole chiave, o peggio, di tenerle memorizzate su pezzi di carta o note sul telefonino, non protette.

Il meccanismo entra in funzione quando Authenticator rileva un'attività di login da un nuovo dispositivo (magari perché si è cambiato smartphone o tablet) o da una parte del mondo non conforme alle località solite di un utente. In pratica con Authenticator si attua quel processo di verifica di un account che da anni gli esperti di sicurezza ritengono fondamentale per ridurre il rischio di intrusione. Resta il fatto, però, che un criminale esperto potrebbe già aver violato la sicurezza della email di una potenziale vittima, così da poter leggere anche i messaggi temporanei inviati da questa app di autenticazione, e lo stesso potrebbe essere per gli sms, tramite la tecnica dello «sniffing».

Già piattaforme come Facebook e Twitter permettono di ricevere una notifica in più sul cellulare ad un nuovo accesso, come misura aggiuntiva di difesa, ma sempre dopo aver inserito la password. E ci sono delle app che gestiscono le password con cui si può già usare una sola chiave per accedere alla cassaforte delle altre inserite, ma anche questi sistemi sono stati vittima di cybercriminali. Per questo il futuro sarà sempre più nella biometria, cioè l'uso per autenticarsi di parti del corpo come il viso e la voce. Al momento sono già in campo i sistemi Face ID di Apple che usa il volto, lo sblocco con l'impronta su Android e Windows Hello, abilitati per l'ingresso nei dispositivi ma anche per il login di app di terze parti.