Quando Windows 10 è apparso per la prima volta sulla scena, consentiva già agli utenti di impostare PIN anziché password. Quel metodo di accesso era facoltativo, ma ora Microsoft ha deciso di sostituire completamente le password con i PIN.
L'azienda vuole scuotere le cose con la prossima versione di Windows 10, attualmente nota come 20H1. Previsto per arrivare entro il prossimo mese o due, l'ultimo aggiornamento ha in serbo molti cambiamenti sorprendenti.
Degna di nota è la decisione di Microsoft di eliminare le password a favore dei PIN. Ma cosa significa per gli utenti di Microsoft 10 e per la sicurezza in generale?
Perché Microsoft sta passando ai PIN?
Le password sono un metodo di autenticazione universale. Puoi utilizzare le password per la maggior parte dei dispositivi, app, siti Web e software come Windows. Eppure, le password non sono il metodo di autenticazione più sicuro. A volte sono così facili che si possono indovinare. In caso contrario, ci sono molti modi diversi per decifrare le password.
Se una password viene compromessa (cosa che spesso accade a causa di violazioni dei dati), più dispositivi e account sono a rischio. Quando si tratta di un account Microsoft, significa che l'attaccante ha accesso a tutto ciò che è collegato a quell'account. Che, tra le altre cose, può includere documenti riservati, note, app, e-mail e informazioni sulla carta di credito.
Nel frattempo, un PIN protegge solo il dispositivo su cui lo usi. Microsoft non sincronizza i PIN tra i dispositivi, non li archivia sui propri server e non li invia mai tramite la connessione di rete. Questo è il motivo per cui Microsoft ha scelto di utilizzare questa opzione. Diana Huang, direttore dell'ingegneria per la sicurezza di Windows, lo spiego meglio in questo post.
Ha detto che le password sono chiavi simmetriche e "c'è sempre un server che tiene traccia della tua password o della chiave simmetrica." I PIN forniscono la crittografia dell'entropia e non rimangono su un server ma sul dispositivo.
Microsoft archivia il PIN di accesso localmente su un chip TPM a prova di manomissione. Usano una crittografia robusta per garantire che rimanga a prova di bollo. Ogni volta che si immette il PIN, il TPM lo sale per creare un hash. Viene quindi confrontato con il valore memorizzato sul dispositivo.
Attualmente, anche le password vengono crittografate, ma sono anche facili da decifrare. La situazione è diversa con i PIN, in quanto questo post di Microsoft spiega anche in dettaglio.
Per saperne di più: Microsoft è pronta per una nuova era di Windows
I vantaggi e gli svantaggi dell'utilizzo di un PIN
I PIN sono semplici e non sono una nuova forma di autenticazione. Anche il modo in cui Microsoft ora punta a usarli non è una nuova forma di sicurezza.
Molti avevano utilizzato i PIN prima che Internet diventasse una necessità quotidiana, e anche dopo. E dopo tutto questo tempo, sono ancora una forma di autenticazione sicura perché:
- Sono memorizzati localmente sul dispositivo e non vengono trasmessi online.
- Il PIN è supportato dalla crittografia hardware sui dispositivi che hanno un TPM (modulo della piattaforma affidabile) chip installato.
Il vantaggio più significativo di un PIN è che nessuno può rubarlo in caso di violazione dei dati. Anche gli attacchi di malware o spray non possono danneggiarli. Anche se il pin viene compromesso, l'attaccante non potrebbe comunque farci nulla a meno che non abbia accesso a quel dispositivo.
Uno degli unici modi in cui qualcuno potrebbe accedere a un account Windows con un PIN è vedere qualcuno che lo inserisce e quindi rubare il dispositivo.
Nel frattempo, è possibile e facile rubare le password. Le aziende li archiviano su server separati e li inviano su Internet. I PIN non hanno questo problema.
Detto questo, c'è ancora un grande avvertimento a questo. Alcuni virus e malware concedere agli aggressori pieno accesso al dispositivo. Quindi un hacker non avrebbe nemmeno bisogno dell'accesso diretto al computer per comprometterlo. Quindi, sebbene il nuovo sistema PIN di Windows sia molto più sicuro delle password, non commettere l'errore di pensare che sia infallibile. Un falso senso di sicurezza genera compiacimento.
Anche se i PIN sono più sicuri, gli utenti di Windows 10 devono comunque essere vigili e proteggere i propri dispositivi da attacchi o furti esterni.
Per saperne di più: Office 365 è ora Microsoft 365, con nuovi piani familiari e personali
Il futuro delle password sembra tetro?
Non del tutto. Nonostante l'impulso di Microsoft a eliminare le password, sono ancora la forma di autenticazione più comune. Almeno per ora. Altri metodi di autenticazione come l'impronta digitale e il riconoscimento facciale stanno emergendo. Ma sono ancora lontani dall'essere mainstream.
Quindi per ora, insicure o meno, le password rimangono il cane principale dell'autenticazione. Ma ciò non significa che le persone non possano stare al sicuro mentre usano le password.
A parte le massicce violazioni dei dati, molte persone possono incolpare se stesse per essere state hackerate. La maggior parte ha abitudini terribili per le password, incluso l'uso di password comuni e semplici. E, naturalmente, molti riutilizzano la stessa password in tutti i loro account.
Alcuni strumenti esistono e possono aiutare ad alleviare questo problema. Per esempio, gestori di password lascia che le persone creino un sacco di password complicate senza doverne ricordare nessuna. Devono solo ricordare una password principale. Risolve già molti dei problemi associati alle password.
A parte i gestori di password, è anche fondamentale seguire le basi sicurezza informatica pratiche. È essenziale evitare minacce come gli attacchi di phishing. Questo è un altro metodo popolare utilizzato dagli hacker per rubare le password.
Inoltre, 2FA sta diventando sempre più mainstream. Alcune piattaforme, ad esempio Yahoo, utilizzano già passcode temporanei invece di password. Garantisce che una password compromessa da sola non dia ai criminali informatici un facile accesso agli account.
I PIN potrebbero essere il nuovo futuro per Microsoft, ma il resto del mondo è ancora molto in bilico "parola d'ordine" campo. Quindi, anche se il passaggio ai PIN è inevitabile su Windows, le password sono ancora rilevanti, così come le abitudini delle password sicure.
Conclusione
Microsoft sta passando presto ai PIN obbligatori per Windows, e questa è una buona cosa. L'utilizzo di un PIN è un modo molto più sicuro per proteggere i dispositivi e gli account Microsoft. Detto questo, le password non scompariranno del tutto per il resto del mondo, anche se l'ecosistema Windows decidesse di andare oltre senza di esse.