Salve a tutti, siete all'ascolto di INSiDER - Dentro la Tecnologia, un podcast di Digital People e io sono il vostro host, Davide Fasoli.

Oggi parleremo di password, delle loro criticità e del perché nel giro di poco potrebbero scomparire.

Prima di passare alle notizie che più ci hanno colpito questa settimana, vi ricordo che potete seguirci su Instagram a @dentrolatecnologia, iscrivervi alla newsletter e ascoltare un nuovo episodio ogni sabato mattina su Spotify, Apple Podcast, Google Podcast oppure direttamente sul nostro sito.

Tra le diverse novità presentate all'evento Showcase dello scorso mercoledì, Sony ha rivelato ufficialmente anche Project Q, ovvero un dispositivo portatile già annunciato alcuni mesi fa, pensato esclusivamente per riprodurre in streaming i giochi presenti sulla propria PlayStation 5.

Dalle prime informazioni arrivate sappiamo che Project Q non sarà prima di tutto il nome commerciale finale, in quanto si tratta solamente di un appellativo usato internamente da Sony.

Per quanto riguarda le caratteristiche tecniche, invece, questo dispositivo consentirà di riprodurre in Full HD a 60 fps solamente i giochi acquistati su PS5 ed esclusivamente in streaming con il sistema proprietario Remote Play attraverso la rete domestica.

Dunque non sarà possibile collegarsi alla console madre né con una rete cellulare né con un altro Wi-Fi che non sia utilizzato dalla PS5.

Con questi presupposti risulta chiaro che rivolgersi a Project Q come una vera e propria console non sarebbe propriamente corretto, dato che non si tratta di un dispositivo autonomo, bensì di uno schermo secondario connesso in locale alla PS5.

Dunque è di fatto un prodotto completamente diverso da una console portatile come ad esempio Nintendo Switch o Steam Deck, che riproducono direttamente i videogiochi acquistati e che possono essere utilizzate ovunque si voglia, ma soprattutto è evidente che quando questa verrà distribuita verso la fine dell'anno avremo tra le mani un dispositivo limitato e costoso, che probabilmente verrà gradito solamente da una piccola fetta degli utenti PS5.

Il mercato degli smartwatch, dispositivi indossabili di cui abbiamo spesso parlato, sta attraversando una fase di crisi globale, con un'unica eccezione.

L'India.

Nel primo trimestre del 2023 il settore ha subito una contrazione dell'1,5%, un dato migliore rispetto almeno 8 registrato nel quarto trimestre del 2022, ma comunque negativo considerando che l'India ha registrato una crescita del 121%, influenzando in qualche modo il risultato complessivo.

La crisi generale e la mancanza di nuovi prodotti da parte dei principali produttori come Apple e Samsung sono le cause principali di questa situazione.

Apple continua comunque a dominare il mercato, con una quota del 26%, anche se in calo rispetto al 32% del primo trimestre del 2022.

Al secondo posto si posiziona Fire-Boltt, un'azienda indiana che ha superato Samsung grazie al successo dei suoi modelli di smartwatch di fascia bassa venduti nel mercato interno indiano, evidenziando che c'è un interesse dei consumatori per questo tipo di dispositivi, ma che spesso costano più di quello che gli utenti sono disposti a pagare.

A Roma si sta tenendo in questi giorni, dal 26 al 28 maggio per la precisione, una serie di eventi organizzati da Apple in vista del prossimo Worldwide Developer Conference 2023, la conferenza più importante di Apple dedicata agli sviluppatori e che si terrà dal 5 al 9 giugno.

La serie di eventi organizzati a Roma, infatti, sono incentrati proprio sul mondo dello sviluppo e della programmazione di app, come suggerisce il nome Apps for the Future.

In queste tre giornate si terranno diverse conferenze e laboratori completamente gratuiti per poter avvicinare soprattutto bambini e ragazzi allo sviluppo e alle materie STEM in generale.

Ieri, 26 maggio, si è tenuto l'evento Spotlight, dove ex studenti della Apple Developer Academy hanno parlato un po delle basi da cui cominciare per poter programmare un'app.

Oggi invece, 27 maggio, saranno ospiti le aziende Bending Spoons per parlare di video editing tramite l'app Splice e redBit games, che invece si concentrerà sulla creazione di un personaggio per i videogame.

Infine, domenica, sarà dedicato alle materie STEM e a una chiacchierata finale sul mondo delle app legate al benessere.

Per gli aspiranti sviluppatori e sviluppatrici, insomma, questa potrebbe essere un'occasione da non perdere per iniziare a toccare con mano il mondo di cui vorranno fare parte.

Il concetto di password o di parola d'ordine è un qualcosa di antichissimo che si perde nella storia umana e che si può incontrare diverse volte nella letteratura e nei racconti storici.

Queste parole d'ordine venivano spesso utilizzate per superare delle sfide o degli ostacoli, per distinguere gli amici dai nemici e ancora per superare i controlli delle guardie o entrare in posti segreti.

E se vogliamo dare una datazione storica, i primi riferimenti scritti dell'utilizzo delle password li possiamo trovare nel secondo secolo a.C., quando lo storico greco Polibio racconta di come l'impero romano utilizzasse delle parole d'ordine, scritte su delle tavolette di legno, da far girare tra le fila dell'esercito per riuscire a riconoscere i propri uomini e stanare gli infiltrati nemici.

Venendo ai giorni nostri l'utilizzo delle password nell'ambito informatico non si è reso necessario fin da subito, ma è stato introdotto nel 1964 da Fernando Corbató, che all'epoca era ingegnere presso l'MIT.

Pochi anni prima, nel 1961, Corbató aveva infatti proposto un sistema per poter gestire più utenti e più sessioni contemporaneamente su un solo computer, invenzione tra l'altro con cui vinse anche il premio Turing, il riconoscimento più importante e prestigioso nel mondo dell'informatica.

Dal momento che con questo sistema più utenti condividevano lo stesso spazio fisico su un computer, dunque, per evitare scambi di informazioni o accessi non autorizzati, l'introduzione di un sistema sicuro di autenticazione era necessario.

E il resto lo conosciamo bene.

Ad oggi, infatti, qualsiasi applicazione o sito che debba gestire uno o più utenti implementa l'accesso tramite password, dai sistemi di homebanking ai vari social network agli stessi smartphone o PC.

Contemporaneamente, però, abbiamo anche visto un numero sempre maggiore di furti di account, sistemi sempre più potenti e sofisticati per scoprire le password, e addirittura intelligenze artificiali che riescono a prevederne con un discreto successo.

Alla luce di questi fatti, dunque, viene da chiedersi: ma al giorno d'oggi le password sono ancora un sistema sicuro, affidabile e semplice come lo era negli anni 60 in generale fino a qualche anno fa? In questa puntata cercheremo di rispondere proprio a questa domanda, andando a capire come le password sono ormai un sistema sicuro fino a un certo punto, quali sono i consigli per creare e gestire le proprie password, ma soprattutto andremo a vedere quali sono i sistemi più moderni e promettenti che potrebbero in futuro eliminare completamente la necessità di ricordare centinaia di password diverse e rendere gli accessi più sicuri.

Iniziamo proprio da quest'ultimo problema, ossia la necessità di ricordare centinaia di password diverse.

Ormai tutti hanno almeno un account su social network, app bancarie, servizi di Google, Apple, Microsoft, Amazon, oltre a tutte le altre applicazioni che abbiamo sugli smartphone o su PC.

E questo ha reso necessario dover generare e soprattutto ricordare una password per ognuno di quei servizi e quelle app.

Succede molto spesso quindi che si decida di utilizzare un'unica password, spesso semplice, e usarla per tutti gli accessi, con il rischio che, quindi, se anche uno solo di quei servizi viene hackerato, poi tutti quanti sono da considerarsi compromessi.

A rafforzare ulteriormente questo problema, poi, c'è la scelta in sé della password, che molto spesso è formata da una combinazione di dati personali, come la propria data di nascita, il proprio nome o il nome di un proprio familiare e così via.

C'è poi la questione dell'uso di caratteri speciali, numeri, lettere maiuscole, che ormai molti siti rendono obbligatori per forzare gli utenti a usare password un po più complesse.

Portando qualche dato, un sistema di forza bruta, ossia che testa qualsiasi combinazione di caratteri finché non trova quella esatta, riuscirebbe a trovare in sole tre ore una password di otto caratteri o numeri, mentre aggiungendo anche le maiuscole e i caratteri speciali, il tempo aumenta a 57 giorni.

E se già questo dato può essere preoccupante, grazie all'intelligenza artificiale generativa, il tempo impiegato può passare da 57 giorni a sole sette ore.

Come si possono quindi generare password sicuri e diverse tra loro per i vari servizi online? Esistono vari metodi che possono aiutarci in questo, che sono in realtà più esercizi di memoria.

Ad esempio, in molti utilizzano una sola password, che però fa solo da base comune, da cui poi si genera una password personalizzata per ogni servizio, con lo stesso pattern.

Anche in questo caso, però, una volta capito il pattern usato, diventa semplice trovare i diversi accessi.

Un altro metodo molto interessante, invece, prevede l'utilizzo di “passphrases” ossia vere e proprie frasi di senso compiuto comprese di spazi o punteggiatura, o una combinazione di più parole.

In questo modo, ad esempio, possiamo associare ad ogni singolo servizio un'immagine mentale che ci permette di ricostruire la frase che useremo per accedere.

Per fare un esempio, potremmo immaginare un personaggio che compie diverse azioni.

Ad esempio, per Netflix o Prime Video, una potenziale passphrase associata potrebbe essere: Luca vuole guardare un film, ma i suoi amici sono rimasti a casa.

Un sistema simile, tra l'altro già molto utilizzato per quanto riguarda il mondo della blockchain e delle criptovalute, dove la chiave di accesso è solitamente associata ad un elenco di dodici o più parole casuali.

Tornando alla password, altri strumenti che al giorno d'oggi potremmo quasi definire fondamentali sono i password manager, o gestori di password.

Browser come Google Chrome, Microsoft Edge, Firefox o Safari, sia per PC che per smartphone, sono già dotati di gestori di password, che permettono di salvare e compilare automaticamente gli accessi ai vari siti, oltre ad avere anche la possibilità di generare delle password complesse e di conseguenza più sicure.

Non sarà dunque più necessario ricordare decine di parole chiave diverse, ma basterà affidarsi al proprio, tra virgolette, “custode digitale” .

L'unica condizione chiaramente è ricordarsi e avere sempre la possibilità di accedere al proprio account dove le password vengono sincronizzate.

Tutto questo però non è abbastanza.

Se infatti è vero che i gestori di password, le passphrases o gli altri stratagemmi per creare e ricordare password sicure funzionano abbastanza bene, e difficilmente si può vedere il proprio account rubato da malintenzionati, è purtroppo anche vero che in tantissimi per pigrizia, per una sottovalutazione della sicurezza online o per altri motivi, si riducono a usare password semplici e facilmente hackerabili.

E pensiamo solo a quanto potrebbe essere disastroso se qualcun altro riuscisse ad accedere al nostro conto bancario, postare contenuti inadeguati sui social o inviare email per conto nostro che potrebbero magari costarci anche il posto di lavoro.

Per questo motivo è stato necessario negli anni introdurre nuovi livelli di sicurezza e nuovi modi che, si spera, andranno a sostituire completamente l'uso delle password.

E qui veniamo alla seconda parte di questa puntata.

Partiamo da un sistema che è diventato ormai obbligatorio su tutti i principali servizi online, e che più che andare a eliminare completamente l'uso delle password, lo va ad affiancare per rendere gli accessi nettamente più sicuri.

Stiamo parlando dell'autenticazione a due fattori, dove dopo l'inserimento della parola chiave viene chiesto l'inserimento di un codice che possiamo ricevere via SMS o su un'app del telefono dedicata o su un dispositivo fisico.

Questi codici sono temporanei e garantiscono che il codice l'abbia effettivamente inserito la persona che ha accesso al proprio smartphone su cui è autenticato, ad esempio con il riconoscimento biometrico.

E proprio il riconoscimento biometrico è un'altra alternativa sicura alla password che si è fatta strada negli ultimi anni, soprattutto in ambito mobile.

Grazie ai lettori di impronte digitali e al riconoscimento facciale, infatti, questi sistemi velocizzano il login alle diverse app del dispositivo, garantendo sicurezza e affidabilità.

Tuttavia, anche questi sistemi sono dei metodi per velocizzare il login più che per sostituirlo.

L'utilizzo di un PIN o di una password nel momento in cui il lettore di impronte non fosse disponibile o non riuscisse a riconoscere correttamente il dito diventa necessario.

Un ulteriore metodo di accesso sicuro, veloce e che non prevede di inserire sempre una propria password personale e che vediamo sempre più spesso online è il login tramite servizi di terze parti, ad esempio accedi con Google, Facebook o Apple.

Nella pratica questi gestori fanno da garante nell'identificare l'utente, per poi restituire un id univoco al servizio sul quale stiamo cercando di accedere che ci identifica proprio con il nostro profilo senza chiedere altro.

Questa soluzione permette di semplificare enormemente l'esperienza sul web, in quanto basterà non perdere il proprio account principale, quello di Google o Facebook o Apple, e potremo accedere ovunque senza reimpostare password poco sicure.

Un approccio molto simile, dove vengono però implementati ulteriori livelli di sicurezza, è quello del login con SPID o CIE, dove appunto o con un'unica combinazione di email e password e l'autenticazione a due fattori, o scansionando un QR code dall'app verificata, si può accedere a tutti i siti e servizi della pubblica amministrazione e non.

Arriviamo infine allo scorso anno, il 2022, con la presentazione delle PassKey da parte di FIDO Alliance, un'organizzazione formata da diverse multinazionali del web, tra cui chiaramente Apple, Google, Microsoft, Meta e Amazon, che si occupa proprio di definire gli standard nel mondo dell'autenticazione.

Ad oggi il supporto alle PassKey da parte dei principali browser è completo, grazie al rilascio ufficiale su Chrome che Google ha annunciato il 3 maggio 2023.

Ma cosa sono e come funzionano? Chi mastica un po nell'ambiente Linux, questo tipo di autenticazione è, seppur con sistemi un po meno intuitivi, utilizzato da decenni, e si basa sull'utilizzo di una coppia di chiavi univoche, una pubblica e una privata.

La chiave pubblica viene salvata dal sito web o dall'app che richiede il login, mentre la chiave privata viene salvata in modo sicuro sul proprio smartphone e sincronizzata attraverso i sistemi di cloud come iCloud, Google Password Manager o Microsoft Authenticator.

La coppia di chiavi pubblica e privata identifica così in modo univoco e sicuro l'utente, permettendo l'autenticazione senza l'utilizzo di password o altri sistemi.

La particolarità di questo sistema, poi, è che seppur sia da un punto di vista tecnico molto complesso e sicuro, per l'utente accedere diventa estremamente semplice.

Dal momento in cui facciamo il login attraverso la passkey, infatti, viene inviata una notifica al proprio smartphone con la richiesta di accesso, che in seguito all'autenticazione biometrica viene confermata, e il login sul sito viene in automatico senza la richiesta di PIN o password.

Questo sistema d'accesso è al momento il più efficace nel mondo consumer, in quanto riesce a combinare perfettamente immediatezza, semplicità di utilizzo e soprattutto una forte sicurezza data dalla crittografia.

Sui principali siti web questo sistema è già attivo, anche se un po nascosto tra le impostazioni di sicurezza degli utenti, e la speranza è che si diffonda sempre più per eliminare del tutto l'uso delle password.

D'altro canto, però, sono proprio gli sviluppatori che, con il tempo, dovranno impegnarsi a implementare questo sistema di autenticazione, rendendo il web un posto più sicuro per tutti noi.

E così si conclude questa puntata di INSiDER - Dentro la Tecnologia.

Io ringrazio come sempre la redazione e in special modo Matteo Gallo e Luca Martinelli che ogni sabato mattina ci permettono di pubblicare un nuovo episodio.

Per qualsiasi tipo di domanda o suggerimento scriveteci a redazione@dentrolatecnologia.it, seguiteci su Instagram a @dentrolatecnologia dove durante la settimana pubblichiamo notizie e approfondimenti.

In qualsiasi caso nella descrizione della puntata troverete tutti i nostri social.

Se trovate interessante il podcast condividetelo che per noi è un ottimo modo per crescere e non dimenticate di farci pubblicità.

Noi ci sentiamo la settimana prossima.