Dobbiamo accedere ad un servizio ? Ci vogliono email e password.
Quelle scelte dagli utenti sono deboli rispetto alle capacità dei computer di oggi; anche perchè non sono stati implementati spesso meccanismi di blocco temporaneo dopo un certo numero di tentativi falliti.
Così la proposta di Fido Alliance che, come le API e altri servizi online, usano token invece di password. Si identificano tra di loro per breve tempo e il token scade, sostituito da uno più recente.
La sicurezza si sposta quindi sul meccanismo di generazione dei token in modo che siano legati al dispositivo già autorizzato una volta, al massimo sbloccato con meccanismi biometrici.
E' noto tuttavia che gli strumenti biometrici di riconoscimento non sono sostituibili (occhi, impronta digitale, voce) e possono cambiare nel tempo.
I sistemi passwordless si basano su token, codice complessi generati dalle macchine e per tempi limitati.
Il punto è che comunque una prima autorizzazione deve essere data, e deve poter essere modificata. Il punto debole potrebbe diventare questa fase e la sua gestione.
Inoltre i token non possono essere tenuti a mente; le password invece possono restare di fantasia e ignote realmente.
La verità è che la sicurezza dipende dal contesto, e la password migliore idem. Due pc che devono parlare di tra di loro useranno token, e anche altri strumenti per identificarsi e confermare i puri token. Cosa che amplia il perimetro da presidiare controllando anche i parametri ulteriori rispetto ai token, e le procedure di modifica, cancellazione, ripristino e creazione.
Fido Alliance propone uno standard per i sistemi passwordless.