Microsoft Authenticator: un futuro senza password?

Le password sono uno degli anelli deboli di qualsiasi "perimetro" di sicurezza, Microsoft prova a sostituirle con una nuova funzionalità.

Authenticator bypassa l'inserimento delle password

Il logo dell’app Microsoft Authenticator

E’ da diverso tempo che si parla dell’inadeguatezza delle password e della ricerca di alternative più affidabili. Come risaputo, le credenziali adoperate per accedere ad un qualsiasi servizio possono essere infatti “rubate” in molteplici modi, soprattutto online (hacking, phishing etc.). Ed anche i comodi gestori di password incappano a volte in qualche problema.

La soluzione più in voga negli ultimi tempi, e promossa da diverse compagnie ed esperti di sicurezza, sembra essere quella dell’autenticazione in due passaggi (two factor authentication o in breve 2FA): l’utente inserisce username e password ma per completare la procedura deve fornire un codice inviato direttamente via SMS o email ad un dispositivo personale – solitamente un cellulare.

Authenticator, un’applicazione che è stata rilasciata ufficialmente da Microsoft la scorsa estate e pensata per offrire maggiore protezione tanto agli utenti enterprise (Azure etc.) quanto consumer (chi sta leggendo in questo momento la notizia), ha messo a disposizione un’interessante variante della 2FA che, sebbene non rivoluzioni il panorama della sicurezza online, pone nuovamente in discussione l’esistenza delle password.

La funzionalità, disponibile su iOS ed Android (Windows Phone è stato tagliato fuori per il momento, il bacino di utenza deve essere probabilmente basso), invia semplicemente una notifica/richiesta al dispositivo dell’utente che, dopo aver dato conferma, ultimerà la procedura di “riconoscimento”. In questo modo, oltre al dover ricordare unicamente il proprio username, si eviterà di adoperare password o rischiare che i codici forniti dalla classica 2FA possano essere intercettati da un attacco man in the middle.

Addio password e 2FA?

Cosa ne pensano alcuni esperti di sicurezza in merito all’idea di Microsoft? E’ il portale E-commerce Times a fornirci alcuni pareri (contrastanti):

“Questa tecnologia è sicuramente un passo avanti rispetto [all’impiego di app che generano password temporanee], le quali possono essere intercettate mediante un attacco man in the browser” ha commentato Rik Ferguson (vp security research presso Trend Micro). E’ l’interazione (l’utente deve dare conferma o meno) la carta vincente della variante Microsoft, sottolinea, in quanto evita che password ed SMS passino attraverso il medesimo browser.

Diverso il giudizio dato da Mark Nunnikhoven (Cloud Security presso Trend Micro) in merito alla nuova funzionalità: «l’approccio Microsoft sostituisce “qualcosa che conosci”, la password, con “qualcosa in tuo possesso”, il telefono”». Tuttavia questo metodo non è sicuro quanto un classica procedura di autenticazione in due passaggi, afferma.

Fonti: 1, 2

 

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *