Password123. Admin1234. NomeCognato90. Varianti della data di nascita. La stessa password usata per tutto, dalle email ai siti non AAMS, perché tanto chi si ricorda cinquanta combinazioni diverse. Le password sono state il sistema di sicurezza dominante per decenni, e francamente fanno schifo. Sono scomode, facili da dimenticare, facili da rubare, e la maggior parte della gente le usa malissimo. La buona notizia? Stanno per diventare obsolete. La cattiva? Quello che viene dopo non è necessariamente più semplice da capire.
Il problema delle password che nessuno vuole ammettere
Le password sono un disastro per design. Per essere sicure dovrebbero essere lunghe, complesse, diverse per ogni servizio, dalla banca all’esperienza PayPal nei siti di scommesse non AAMS, e cambiate regolarmente. Praticamente impossibile da gestire senza un password manager. E infatti quasi nessuno lo fa. Le password più usate sono ancora “123456” e “password”.
Anche chi ci prova seriamente finisce per fare casino. Si creano password complicate sui portali e siti non AAMS, poi si dimenticano, poi si fa il reset, poi si dimentica di nuovo. Oppure si scrivono su un foglietto le password di email, cloud e siti non AAMS, vanificando completamente lo scopo. O si salvano nel browser sperando che nessuno acceda al computer. È un sistema che funziona solo in teoria, nella pratica è pieno di falle.
E i criminali informatici lo sanno benissimo. Il phishing funziona perché la gente inserisce le password in siti fake che somigliano a quelli veri come i siti non AAMS. I data breach funzionano perché se rubano le password da un sito, la gente usa le stesse anche altrove. È una battaglia persa in partenza.
L’autenticazione a due fattori
L’autenticazione a due fattori (2FA) è stata il primo vero passo avanti. L’idea è semplice: non basta sapere la password , serve anche avere qualcosa. Di solito il telefono. Si inserisce la password e poi arriva un codice via SMS o su un’app. Anche se qualcuno ruba la password, senza il telefono non entra.
Funziona? Sì, molto meglio delle password da sole. È perfetto? No. Gli SMS possono essere intercettati. Le app di autenticazione sono più sicure ma richiedono un minimo di competenza tecnica. E soprattutto, è un casino. Ogni volta che si fa login su un sito non AAMS bisogna prendere il telefono, aprire l’app, copiare il codice. Ma ha fatto capire una cosa importante: l’autenticazione può funzionare anche senza affidarsi solo a qualcosa che si conosce (la password), può usare qualcosa che si possiede (il telefono).
La biometria, comoda ma inquietante
L’impronta digitale, il riconoscimento facciale, la scansione dell’iride. La biometria è comodissima. Basta avvicinare il dito o guardare il telefono e sei dentro all’app o a uno dei siti scommesse non AAMS. Niente da ricordare, niente codici da copiare. Il problema è che i dati biometrici non si possono cambiare. Se qualcuno ruba la password, la cambi.
Se qualcuno ruba l’impronta digitale? Quella ce l’hai una sola. E per sempre. Dove vengono conservati questi dati? Cosa succede se vengono violati? Apple e Google dicono che i dati biometrici restano sul dispositivo, criptati, inaccessibili. Forse è vero. Forse. Ma fidarsi ciecamente non è mai una grande idea quando si parla di dati così sensibili.
Le passkey forse la vera rivoluzione
Le passkey sono la novità più interessante. Funzionano in modo diverso dalle password tradizionali di email e siti scommesse non AAMS. Non si inserisce niente. Non c’è una stringa segreta da ricordare o da rubare. Si usa una coppia di chiavi crittografiche: una pubblica (che il sito può avere) e una privata (che resta sul dispositivo).
Quando si fa login sul portale o sui siti scommesse non AAMS, il sito sfida il dispositivo a dimostrare di avere la chiave privata. Il dispositivo risponde, ma senza mai trasmettere la chiave stessa. È matematicamente sicuro e immune al phishing. Perché anche se qualcuno crea un sito fake, non ha modo di rubare niente. L’utente cosa fa? Sblocca il dispositivo come al solito: impronta, faccia, PIN. Dietro le quinte succede tutta la magia crittografica, ma per l’utente è trasparente. Comodo e sicuro.
Ci siamo quasi, ma non ancora
Apple, Google e Microsoft stanno spingendo forte sulle passkey. Sempre più servizi e siti non AAMS le supportano. Ma ci vorrà tempo prima che diventino lo standard. Perché la transizione è complicata. La gente è abituata alle password, nel bene e nel male. E poi c’è sempre il rischio di perdere l’accesso al dispositivo. Se il telefono con le passkey finisce nel fiume, come si recupera l’accesso? Servono sistemi di backup, ma quelli introducono altri rischi. È complicato. La fine delle password è vicina. Ma come spesso succede con la tecnologia, ci si arriverà in modo graduale, caotico, con soluzioni che convivono per anni prima che una prevalga davvero.
