Parlando di siti web, applicazioni, servizi o sistemi informatici, ciò che balena nella mente in prima battuta è la modalità di accesso. Che il login avvenga via password o meno è un dettaglio che passa inosservato, poiché si tratta di una consuetudine ripetuta nel tempo.
Al pari di ogni altro automatismo, si effettuano le procedure richieste, evitando di farsi troppe domande su quello che avviene dietro lo schermo.
Non tutti sanno però che ognuna delle metodologie, via password, login senza password o autenticazione a due fattori racchiudono un universo a sé di caratteristiche, rischi e benefici peculiari. Perché alcuni metodi sono più vantaggiosi e qual è il migliore per cui propendere, se si ha la possibilità di selezionarne uno? Non resta che scoprirlo.
Login senza password, cosa sono?
Il login senza password è una tipologia di autenticazione che consente di entrare in un computer o in un account ovviando alla digitazione della combinazione alfanumerica di sblocco. Ovviamente, nulla è lasciato al caso: la metodica sfrutta la crittografia asimmetrica e due chiavi crittografiche, una pubblica e un'altra privata. Sebbene possa sembrare simile all’accesso con credenziali più canonico, ciò mette in campo un sistema di login privo di informazioni note a entrambe le parti.
Abitualmente, è necessario che esse coincidano per portare a compimento il procedimento.
Se quanto inserito dall’utente non combacia con ciò che è stato salvato sul database, è impossibile accedere. Il login senza password prevede, invece, che la chiave venga resa disponibile all'utilizzatore esclusivamente durante la richiesta di autenticazione, via sms, email o altro veicolo; lo stesso vale per l’identità biometrica, come il riconoscimento delle impronte digitali o del viso. Niente, dunque, da memorizzare per un uso successivo.
Autenticazione a due fattori, cos’è?
Con l’autenticazione a due fattori, o più a seconda delle impostazioni, è previsto che si compiano più passi per poter completare il login, in aggiunta all’inserimento della tradizionale parola d'ordine. Sono i molteplici requisiti che bloccano eventuali tentativi fraudolenti di accesso: infatti, anche conoscendo la parte iniziale della combinazione, non è possibile fare breccia su un dispositivo o un profilo non avendo a disposizione le altre.
Di regola si basa su una password temporanea, valida per un solo ingresso comunemente chiamata OTP, generata su un device differente da quello in uso, in modo che non vi sia comunicazione diretta tra i due oggetti.
Solitamente, viene utilizzato in tandem con una chiave di stampo comune, a sommarsi con altre di tipo biometrico, comunicate via posta elettronica o sms, oppure generate o depositate su supporti USB o altri strumenti simili.
Qual è il metodo più sicuro?
Per stabilire quale sia il metodo più sicuro è fondamentale valutare in precedenza i punti fondamentali di queste due tecnologie. Sono tante le condizioni che contribuiscono alla loro validità, da conoscere se si vuole effettuare una stima esaustiva e non approssimativa del mezzo da implementare. Se il login senza password è affidabile fintanto che lo è il device (o la scheda sim) su cui si riceve l'OTP da utilizzare, nell’autenticazione a due fattori è importante tener conto proprio dei “fattori” dell'equazione, giacché la scansione biometrica è stata più volte oggetto di spoofing, ovvero di falsificazione. Di conseguenza, per garantire un alto livello di sicurezza, è imprescindibile che lo sia lo strumento, intelligente da capire se ha a che fare con la persona verificata e non con un impostore.
Sempre in fatto di autenticazione a due o più fattori, bisogna considerare se uno di questi è rappresentato da una normale password. Tale eventualità darebbe un aiuto al lavoro di un eventuale hacker, visto che il codice potrebbe essere facilmente scoperto con raggiri neanche particolarmente elaborati. Sono sufficienti dei database hackerati, un attacco brute-force o, semplicemente, un dato recuperabile rapidamente per rendere rischiosa la situazione.
Ulteriore elemento da non sottovalutare è la facilità d'uso. Più sono gli elementi tecnici in gioco e più l’utente rischia problemi ad accedere.
Può apparire una considerazione fuorviante ma l'immediatezza è uno dei motivi per i quali in molti, davanti alla selezione della tecnologia per l'accesso, tendono a scegliere il format base: più veloce, semplice e non richiede di dover avere a portata di mano telefoni o messaggi. Unica eccezione, almeno al momento, è quella della verifica con impronte digitali e scansione facciale: nel corso degli anni, gli utenti hanno imparato a destreggiarsi riducendo al minimo le difficoltà. Vero che con l’utilizzo delle mascherine, diventate più comuni negli ultimi mesi, l'ok attraverso la comparazione del volto sta dando filo da torcere sia agli utilizzatori che agli sviluppatori che, in certi casi, sono stati costretti a trovare soluzioni alternative o complementari.
Diversa è la storia quando vi sono token, link o codici. Nell'istante in cui si chiede di sfruttare tool esterni, vedi di smartphone o email, spesso le lacune e i bug nascosti si trasformano in veicoli perfetti per consentire ai cybercriminali di prendere possesso di dati cruciali in pochi e rapidi step, lasciando una porta aperta sulle nostre informazioni più importanti. Non esiste, quindi, un metodo migliore in assoluto, se non una scelta dettata dalle necessità e dall’applicazione. Ciascuna alternativa ha le sue luci e ombre, capaci di far decidere verso l’una o l’altra metodologia secondo valutazioni ragionate e legate alla semplicità di implementazione.