Big Tech lotta (ancora) contro le password

Sembra che Google, Apple (i quali controllano OS per telefoni) e Microsoft si siano coalizzate per eliminare le password in futuro, sostituendole (non sorprendentemente) con un’autenticazione via Bluetooth (e quindi probabilmente legata ai telefoni).

Ormai la campagna di Big Tech contro le password procede da molti anni, senza che mai nessuno abbia realmente spiegato perché andrebbero eliminate (rispetto per esempio ai dati biometrici usati per esempio da FaceID, che, a differenza delle password, non possono essere cambiati!).

Penso sia giusto per la comunità del software libero tenere d’occhio la questione. Forzare tutti a possedere uno smartphone è un modo certo per limitare la diffusione del software libero - sui telefoni è molto più difficile installare, distribuire e sviluppare software libero.

Visti i casi di ransomware mi sembra chiaro il motivo per cui vogliono togliere le password, per evitare furti di identitá, a quel punto devi rubare il telefono e questo diminuire le superfici di attacco lasciando solo il phishing per intortare la gente.

Però esistono già altri modi per implementare la 2FA senza ricorrere a software/hardware proprietario. Mi chiedo, perché reinventare la ruota?

Non é reinventare la ruota, la 2FA non é intuitiva quanto avere uno qr code da mostrare sul computer o una chiavetta da inserire nel pc.
Sfortunatamente la maggior parte delle persone non sono pratici e quindi bisogna coprire questi casi che sono anche quelli che si fanno hackerare con il phishing.

Infatti ecco un articolo Yahoo! JAPAN's password-free authentication reduced inquiries by 25%, sped up sign-in time by 2.6x in cui c’é il caso di Yahoo giappone in cui l’autenticazione da sms o FIDO (quindi pennetta nel pc) ha diminuito i casi di hacking ecc

Che il mondo sia più sicuro mi fa piacere. Però Yahoo usa anche SMS, una tecnologia insicura che però non è molto invasiva a livello di software proprietario, per raggiungere quello scopo.

FIDO non mi piace per niente. Impronta digitale o riconoscimento facciale, sembra qualcosa uscita da un romanzo distopico…in più esse non si possono cambiare, dunque dubito fortemente che siano più sicure di una password che invece si può cambiare (che poi molti usano data di nascita etc., quello è un problema di cultura).