In un mondo passwordless qual è il futuro dei password manager?

Si sente parlare sempre più spesso di approccio passwordless all'autenticazione a siti e servizi. È il momento di buttare i password manager?

Avatar di Marco Doria

a cura di Marco Doria

Per tanto tempo, siamo stati letteralmente sommersi dalle password. Fin da quando usiamo un computer o un dispositivo connesso a Internet, abbiamo dovuto creare e memorizzare decine se non centinaia di parole d'accesso. E nel memorizzarle, intendiamo il più delle volte salvarle da qualche parte, su un foglio Word, Excel o del Blocco note (non fate finta di niente, lo abbiamo fatto tutti prima o poi!). Nel bene o nel male, dobbiamo da sempre gestire le password in qualche modo. E nel tempo, sono arrivati dei servizi abbastanza utili come i password manager. In breve si tratta di programmi che vi permettono di memorizzare le vostre password, o meglio le vostre credenziali di accesso (composte per l'appunto da nome utente/mail/handle e password), insieme ad altri elementi importanti, il tutto all'interno di uno spazio di archiviazione protetto da crittografia e accessibile unicamente dalla master password che create una volta sottoscritto il servizio o installato il programma.

Se volete approfondire l'argomento, vi consigliamo due letture: "Password manager: cos'è, come funziona, a cosa serve" e "Cinque regole base per creare una password efficace". Detto questo, per quanto utili, i password manager sono ancora molto sottovalutati, e incontrano ancora una certa resistenza da parte di molti utenti. C'è ancora chi preferisce salvare le password su file di testo, qualcuno addirittura li annota su un taccuino, chi usa i post-it (fisici o le app di sticky notes sul desktop). In ogni caso, nel tempo, i gestori delle password hanno guadagnato comunque una certa popolarità e, superando le reticenze di alcune persone, sono riuscite a conquistarsi una loro fetta di pubblico.

E poi arrivarono le passkey

Apple ha introdotto le passkey con macOS 13 Ventura e iOS 16. Si tratta di un nuovo metodo di autenticazione che adotta l'approccio passwordless. In sostanza, tramite tecnologie di autenticazione come FIDO e FIDO2, l'accesso passwordless prevede la creazione di chiavi di accesso a livello locale, sul dispositivo in uso, che vengono associate a dati biometrici, come impronta digitale e riconoscimento facciale. Il vantaggio delle passkey è che non devono essere memorizzate dall'utente, dato che sarà il dispositivo a gestire l'autenticazione tramite veri e propri codici segreti che non vengono memorizzati nel cloud ma nei dispositivi fisici. La trasmissione di dati per l'autenticazione viene protetta da crittografia, di conseguenza, grazie alla combinazione con i fattori di autenticazione biometrici, diventa estremamente difficile, se non impossibile violare tali passkey.

Molte aziende stanno adottando questo nuovo metodo di autenticazione, poiché viene considerato molto più sicuro dell'uso delle password, anche con 2FA. Ad esempio, aziende del calibro di PayPal hanno già iniziato a supportare l'accesso passwordless. E Apple, Microsoft e Google stanno lavorando attivamente per adottare questa tecnologia in massa, dunque ci sono tutti i presupposti per immaginare un futuro dominato dall'accesso senza password come standard.

A questo punto, la domanda sorge spontanea: che fine faranno i password manager?

Con l'accesso passwordless, è la fine per i password manager?

Se dovessimo affidarci a un giudizio di pancia, o se volessimo proprio creare un articolo click-bait, diremmo "sì, i giorni dei password manager sono decisamente contati". La realtà però è molto più complessa e la strada è stata in parte tracciata. Ci sono aziende che sviluppano password manager che hanno già iniziato a prepararsi a questo possibile cambio di paradigma, come Dashlane ha introdotto il supporto alle passkey. Altre realtà stanno investendo nella tecnologia, ad esempio 1Password ha acquisito Passage, una società che sviluppa tecnologie di accesso senza password. Anche LastPAss ha fatto i suoi passi per abbandonare le password, dunque l'industria dei password manager non sembra proprio alla fine, anzi.

Come sempre, nel mondo aziendale c'è chi si adatta al cambiamento, chi si fa trascinare dagli eventi, chi non riesce a sintonizzarsi con l'onda evolutiva. È del tutto plausibile quindi che alcuni marchi spariranno, o cambieranno radicalmente volto, mentre altri continueranno a proporre i propri password manager, integrando funzioni di autenticazione tramite tecnologie come quelle definite dalla FIDO Alliance.

D'altronde, non è detto che le password spariscano così, dal giorno alla notte. È molto più probabile che il passaggio verso un approccio 100% passwordless sia graduale e che, nel frattempo, diversi servizi online restino ancorati all'accesso tradizionale tramite password e dati biometrici. Quindi utilizzare un password manager avrà senso ancora per un po' e questo articolo potrebbe suonare leggermente speculativo, eppure chiedersi "ma i password manager servono ancora?" è più che lecito.

All'orizzonte si intravede lo scenario possibile. I password manager sono utili, ma hanno degli svantaggi, in primo luogo il rischio di non poter più accedere al vault qualora si smarrisse la master password. Come saprete, questa parola d'accesso la create voi quando iniziate a usare un gestore password, e non viene salvata nel vault. Inoltre, le aziende che vi forniscono il servizio non hanno modo di conoscere la vostra master password (non avrebbe minimamente senso il contrario), di conseguenza, se non adottate alcuni accorgimenti di sicurezza, potete dire addio alle vostre credenziali.

Con l'accesso passwordless è il dispositivo a gestire l'autenticazione, in un modo affidabile e abbastanza protetto, con un fattore di unicità composto dalle vostre impronte digitali o dai tratti unici del vostro viso. Qualcuno dovrebbe proprio rubarvi il device o in qualche modo riprodurre le vostre fattezze o le vostre impronte digitali: a meno che non lavoriate per i servizi segreti, si tratta di scenari abbastanza improbabili.

Cosa fare adesso?

Se avete un iPhone supportato da iOS 16 potreste iniziare a prendere familiarità con le passkey, ma non è ancora il momento di disinstallare il vostro password manager e disdire l'abbonamento (se non usate uno dei migliori password manager gratuiti). La maggior parte dei servizi online non offre ancora l'accesso passwordless e, probabilmente, ci vorrà qualche anno prima di assistere all'estinzione delle password, quindi è prematuro dire addio al vostro gestore password.

Leggi altri articoli