Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Lug 23, 2024 Marina Londei Approfondimenti, News, RSS, Tecnologia 0
Le password sono ormai universalmente riconosciute come un metodo di autenticazione debole e andrebbero sostituite da meccanismi più robusti, come l’autenticazione multi-fattore e le passkey. Le passkey permettono di accedere ai propri dispositivi e account utilizzando codici e biometria, come l’impronta digitale, il riconoscimento facciale, il PIN o un codice temporaneo.
Questo meccanismo di autenticazione è considerato intuitivo e sicuro: le informazioni per il login vengono salvate solo sul dispositivo utente e i servizi esterni non accedono mai a questa informazione. Quando si crea una passkey, infatti, viene generata una coppia di chiavi, di cui una pubblica e una privata: quella pubblica viene condivisa con il sito web o l’applicazione a cui si vuole accedere, mentre quella privata rimane sul dispositivo utilizzato. Quando un utente vuole autenticarsi, gli è sufficiente usare le proprie credenziali biometriche o i codici per verificare la corrispondenza tra le due chiavi e procedere con il login.
Nonostante siano oggettivamente più sicure delle password, ci sono comunque dei limiti da considerare e gestire in maniera adeguata. In un post sul suo blog, Micah R Ledbetter, ingegnere e programmatore, spiega innanzitutto che nella maggior parte dei casi vengono abilitate di default, migrando gli account verso questo nuovo meccanismo di autenticazione.
È il caso per esempio di Apple che sta migrando gli account nelle nuove versioni di iOS e macOS, e gli utenti si ritrovano col dover creare obbligatoriamente una passkey per l’autenticazione e non possono scegliere altro provider per generarla.
In questo caso non si tratta di un problema legato alle passkey in sé, quanto piuttosto a un modo non molto corretto di gestirle. Il vero problema di questo meccanismo di autenticazione è una sorta di “discriminazione” esplicita tra le applicazioni: i siti web che utilizzano passkey sanno in quale applicazioni l’utente mantiene queste chiavi, e possono anche scegliere di supportarne alcune e non altre.
Per esporre il problema, Ledbetter porta l’esempio di KeePassXC, un’applicazione open source per gestire le passkey. Un senior architect di Okta aveva evidenziato due problematiche importanti di questo tool: la prima è che KeePassXC non è compliant con l’implementazione richiesta per la verifica dell’autenticazione e per questo alcuni siti web potrebbero bloccare l’operazione. In questo caso l’utente non potrebbe effettuare il login e quindi usare il servizio.
Il secondo problema riguarda il fatto che KeePassXC consente di esportare le password senza cifrarle. Si tratta di un rischio di sicurezza molto elevato che non può essere risolto con un semplice avviso da mostrare agli utenti: occorre implementare dei meccanismi che impediscano a un utente di copiare una password senza cifratura.
È normale allora che molti servizi decidano di bloccare questo tipo di applicazioni: dal punto di vista di chi li eroga, una gestione insicura delle credenziali non è un pericolo solo per l’utente, ma anche per la compagnia stessa.
“D’altra parte, è negativo per la società se solo le entità controllate e autorizzate possono creare applicazioni con passkey, ed è negativo per gli utenti se non possono scegliere di utilizzare una particolare applicazione con passkey” spiega Ledbetter.
Il fatto che ci sia un modo per discriminare le applicazioni e uno standard per definire le chiavi permette ai fornitori di servizi di decidere quali applicazioni bloccare e quali accettare, e per di più forzare l’utente a riautenticarsi in qualsiasi momento.
Le passkey rimangono comunque un metodo robusto di autenticazione che andrebbe sempre preferito alle password, ma è necessario definire degli standard più precisi che non vadano a danno degli utenti.
Nov 19, 2024 0
Ott 21, 2024 0
Ott 18, 2024 0
Set 23, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 18, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...