Microsoft ha implementato il supporto della passkey per gli account consumer. I codici di accesso sono un metodo di accesso senza password progettato per impedire il furto dell’account riducendo o eliminando l’uso delle password. Al posto delle password, per accedere agli account vengono utilizzati il riconoscimento facciale, la scansione delle impronte digitali o i numeri PIN.
Metodi attuali per proteggere conti on-line
Le password per gli account online spesso richiedono una combinazione odiosa di lettere maiuscole e minuscole, numeri e simboli che vengono facilmente dimenticati e noiosi da digitare, ma che possono essere rubati dagli hacker tramite phishing, malware e altri metodi.
Un modo per aumentare la sicurezza dell’account è richiedere codici PIN testuali insieme alle password. Sebbene sia più sicuro della sola password, gli hacker possono comunque intercettare il codice attraverso la clonazione illegale della SIM https://theintercept.com/2020/09/25/surveillance-sim-cloning-protests-protect-phone /, scambi di SIM, telefono cellulare hacking e sniffing della rete cellulare quando si prendono di mira personalità come il presidente. Tuttavia, la maggior parte degli account protetti da PIN sono ancora meglio protetti.
Un altro modo per aumentare la sicurezza dell’account è utilizzare dispositivi e software a due fattori (2FA) (come questo di Amazon) che generano un codice univoco che deve essere inserito insieme a una password. Mentre il software 2FA è vulnerabile al malware e alla clonazione, l’hardware 2FA è difficile da copiare, rendendolo popolare per proteggere gli account. Tuttavia, gli hacker hanno anche trovato il modo di aggirare la sicurezza 2FA.
Chiavi di accesso
Il problema delle password dimenticate esiste anche nei metodi precedenti, motivo per cui grandi aziende come Apple, Google e Microsoft promuovono i codici di accesso come alternativa all’hardware 2FA. Per la maggior parte degli utenti, gli accessi con passkey vengono generalmente autenticati tramite riconoscimento facciale, scansione delle impronte digitali o immissione del PIN sullo smartphone della persona. Microsoft afferma che tutti i dati biometrici rimangono sul dispositivo dell’utente e non gli vengono mai inviati.
Uno dei vantaggi del sistema passkey è che per ogni account online viene creata una coppia di chiavi crittografiche, che sono uniche. Un accesso per un account non funzionerà per un altro. I lettori che desiderano provare il nuovo mondo degli accessi senza password possono leggere informazioni sull’impostazione delle password per gli account consumer presso Microsoft, Apple e Google.
I lettori che non desiderano utilizzare le passkey possono comunque utilizzare codici PIN o dispositivi hardware 2FA come questo di Amazon (ricordati di acquistare un backup aggiuntivo).
Problemi Potenziali chiave di accesso
Le passkey introducono potenziali problemi e vulnerabilità. Il primo è la mancanza di due diversi dettagli di accesso: è richiesto solo il telefono o il dispositivo 2FA, quindi i dispositivi rubati hanno piena capacità di accedere a tutti gli account. I bambini sanno sbirciare alle tue spalle per rubare un codice PIN e gli hacker hanno violato il riconoscimento facciale di Microsoft https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello- without-masks-or -chirurgia plastica e verifica preventiva delle impronte digitali. Inoltre, molti account protetti da password rimangono vulnerabili perché le password vengono utilizzate come metodo di ripristino. Ancora più importante, se i tuoi dati biometrici, come la tua impronta digitale, vengono clonati, non sarai in grado di modificarli a meno che non ti sottoponga a un intervento chirurgico, quindi gli hacker saranno in grado di impersonarti fintanto che usi ancora la stessa impronta digitale. per autenticare.
Anche la perdita dei database delle chiavi di accesso è un grosso problema. Se le password vengono completamente rimosse, la perdita del database delle password senza un metodo sicuro per il recupero dell’account può bloccare istantaneamente gli utenti fuori dai propri account per sempre, come hanno sperimentato molti possessori di bitcoin dopo aver perso i propri smartphone. Il problema resta così grande che anche l’autore di webauthn-rs non è convinto, così come molti utenti che hanno riferito che le loro password erano state erroneamente distrutte da Apple e altre aziende. Inoltre, la NSA sa che l’attuale crittografia non quantistica è in pericolo, quindi gli utenti intelligenti dovrebbero diffidare dei backup cloud delle chiavi di accesso.
Password sicure e strategie di account
I gestori di password come 1password e LastPass sono stati violati ripetutamente, quindi anche consentire ai browser web di ricordare i tuoi segreti potrebbe essere una cattiva idea, poiché un attacco riuscito può compromettere tutti gli account. Utilizza invece una strategia di creazione della password che puoi ricordare facilmente. Ad esempio, frase lunga preferita + “iniziale del nome del sito” + numero + “simbolo”.
Un’altra buona strategia è isolare e dividere. Ad esempio, utilizza un account e-mail solo per le finanze e un altro per la corrispondenza regolare, con password diverse. I laptop sono abbastanza economici (come questo su Amazon) da poterne acquistare uno solo per motivi finanziari.
Poiché gli scambi SIM rappresentano una minaccia per tutti gli utenti che proteggono gli account utilizzando i loro telefoni, leggi come proteggere la tua scheda SIM per gli utenti T-Mobile, Verizon o AT&T.
