La compagnia di software americana Stytch ha annunciato un nuovo sistema di autenticazione “costruito per l’era moderna”, rendendo liberi i suoi sistemi di autenticazione ed eliminando tutte le password.
Stytch, che da tempo promuove l’eliminazione delle password, ha ideato questa nuova soluzione – che utilizza ancora le password ma è basata sul cloud – allo scopo di offrire alle aziende un modo per eliminarle dai propri sistemi di autenticazione gradualmente piuttosto che all’improvviso. Secondo l’azienda, “non tutte le compagnie sono ancora pronte per passare a un mondo senza password”, ma ben il 92% di esse ha nei propri piani di farlo in un prossimo futuro.
Le password, nonostante siano pensate per garantire sicurezza agli utenti, sono ritenute poco efficienti e rischiose per la sicurezza degli utenti. Importanti compagnie come Microsoft, Google e Apple si stanno affidando sempre di più a soluzioni biometriche per autenticare gli utenti. Stytch identifica quattro problemi relativi al classico utilizzo delle password, che il sistema appena presentato risolverà.
Il primo è la tendenza molto diffusa di utilizzare la stessa password per diversi account. Sebbene per molti utenti rappresenti l’unico modo per ricordare le password per tutti i propri account, avere la stessa chiave per diversi servizi è estremamente rischioso. Con la soluzione proposta da Stytch, ogni password proposta dall’utente è controllata tramite un database contenente 12 miliardi di password ritenute “compromesse”. Nel caso in cui venga trovata una corrispondenza, all’utente viene richiesto di cambiarla.
Un altro aspetto fondamentale per la sicurezza riguarda la complessità della password scelta, che tende a essere piuttosto minima quando l’utente può scegliere senza restrizioni. Stytch intende utilizzare l’estimatore di forza della password di Dropbox zxcvbn, ritenuto tra i migliori sul mercato.
Per ultimo, le password sono ritenute poco efficienti. Da una parte, se ne posseggono talmente tante da non ricordarsi spesso se si è effettuato l’accesso tramite Facebook, Google o email e nel dubbio si tende a duplicare il proprio account, cosa che Stytch intende impedire. Dall’altra, quando non si ricorda una password, si è costretti a resettarla – un processo spesso lungo, inefficiente e alla lunga abbastanza inutile. Stytch intende eliminare il concetto di password reset, offrendo metodi alternativi di autenticazione, tramite email o cellulare.
Reed McGinley-Stempel, AD di Stytch, ha spiegato che l’azienda ha sempre considerato le password in modo negativo ma che, nell’attesa di arrivare a un momento in cui le aziende potranno implementare sistemi di autenticazione che non ne fanno uso, tanto vale modernizzare il sistema per massimizzarne la sicurezza.
Secondo l’AD della compagnia di sicurezza IronVest Avi Turgeman, il paradosso è che “le password dovrebbero essere eliminate per motivi di sicurezza, ma verranno eliminate per motivi di convenienza”.
https://www.wired.it/article/azienda-senza-password/
https://stytch.com/blog/introducing-passwords/
