Microsoft: tutti i nuovi account 'passwordless' per impostazione predefinita

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/web/mi...ta_138283.html

Microsoft punta decisa verso un futuro senza password. Da oggi, agli utenti che registrano nuovi account, viene richiesto di utilizzare solo metodi come passkey, notifiche push e chiavi di sicurezza per impostazione predefinita.

Click sul link per visualizzare la notizia.

[AlPaBo]

Attualmente, per quanto ne so, si ha solo qualche problema quando si vuole attivare l'RDP su un computer. Peraltro non è un'attività necessaria all'utente comune, per cui un minimo di complessità non mi sembra problematica.

Sarei curioso di sapere se c'è qualche progetto di passare alle passkey anche in questi casi.

[destroyer85]

Confermo il problema in RDP.
Non è proprio un problema marginale, tra terminal server e remote app potrebbe essere un problema per molte aziende.

[Wikkle]

Forse sapete aiutare... con Microsoft Teams, a differenza di Skype, non si riescono a modificare i nomi dei contatti.

Cioè se un cliente è registrato come Mario Rossi della Azienda 123, nei contatti esce Mario Rossi e non si può invece sovrascrivere con solo Azienda 123 .

Vi risulta??

[Qarboz]

Quote:

Originariamente inviato da Redazione di Hardware Upgrade

Secondo la casa di Redmond, ogni giorno vengono registrate quasi un milione di passkey e il tasso di successo nell'accesso degli utenti che le utilizzano è del 98%, contro il 32% di chi si affida ancora alle tradizionali password

Mi piacerebbe avere una spiegazione su queste percentuali, o meglio cosa intendono con tasso di successo nell'accesso? Che il sistema id+password non funziona bene o che l'utente sbaglia a digitare? Se fosse quest'ultimo caso, con un sistema passwordless mi sembra deludente il 98% di successi, visto che per definizione l'utente non può sbagliare la password, IMHO

[Neo123]

Buongiorno e buon fine settimana a tutti.
Ho letto questa notizia ieri mattina, e immaginavo che prima o poi molte aziende avrebbero iniziato ad usare le passkey, ma speravo che come ad es fa google, permettessero di usare ancora le password, tradizionali.
Penso che questa notizia non sia positiva, sia perché complica le cose a chi ad es usa sistemi operativi o hardware datati, o anche recenti, considerato anche il fatto che anche su windows 10/11 per es con alcune cam non è possibile usare Hello per l'accesso con il volto e per usare accesso con l'impronta digitale serve un lettore di impronte, sia perché dal mio punto di vista, al contrario di quanto è scritto, può creare problemi di sicurezza.
In particolare, preferisco una password sufficientemente complicata e che si può cambiare e che non è legata al dispositivo, che una password biometrica legata al dispositivo, che quindi può creare problemi se viene rubato è nel caso si deve bloccare, o se il dispositivo è condiviso.
Inoltre se in qualche modo dovesse venire scoperta, non si potrebbe cambiare.
Spero quindi che magari in futuro torneranno a permettere di usare anche l'accesso tramite password tradizionali, e che altre aziende non sceglieranno di usare solo le passkey.

[marcram]

Quote:

Originariamente inviato da Neo123

Buongiorno e buon fine settimana a tutti.
Ho letto questa notizia ieri mattina, e immaginavo che prima o poi molte aziende avrebbero iniziato ad usare le passkey, ma speravo che come ad es fa google, permettessero di usare ancora le password, tradizionali.
Penso che questa notizia non sia positiva, sia perché complica le cose a chi ad es usa sistemi operativi o hardware datati, o anche recenti, considerato anche il fatto che anche su windows 10/11 per es con alcune cam non è possibile usare Hello per l'accesso con il volto e per usare accesso con l'impronta digitale serve un lettore di impronte, sia perché dal mio punto di vista, al contrario di quanto è scritto, può creare problemi di sicurezza.
In particolare, preferisco una password sufficientemente complicata e che si può cambiare e che non è legata al dispositivo, che una password biometrica legata al dispositivo, che quindi può creare problemi se viene rubato è nel caso si deve bloccare, o se il dispositivo è condiviso.
Inoltre se in qualche modo dovesse venire scoperta, non si potrebbe cambiare.
Spero quindi che magari in futuro torneranno a permettere di usare anche l'accesso tramite password tradizionali, e che altre aziende non sceglieranno di usare solo le passkey.

Una passkey non è né legata ad un dispositivo, né biometrica, né immutabile.
E' semplicemente la chiave privata di un sistema a crittografia asimmetrica, che viene conservata in un gestore di password.
Puoi cambiarla, farne il backup, spostarla da un dispositivo ad un altro, e proteggerla con un sistema biometrico e/o una semplice master password...

[destroyer85]

Domanda da ignorante di passkey ma di conoscitore di certificati:
se cambio una passkey, la parte privata, cosa succede a tutti i precedenti login fatti con "autenticandosi" con quella chiave privata?
Questa chiave privata ha una scadenza come i certificati SSL e va rinnovata ogni tot mesi?

[Neo123]

Ho appena letto, e premesso che ancora non ho mai usato una passkey, ho fatto qualche ricerca per avere più informazioni.
Ed effettivamente hai ragione, le passkey sono modificabili, anche se io mi riferivo alle informazioni biometriche.

Riguardo google
questo è quello che ho letto nella pagina di supporto:

"Accedere con una passkey anziché con una password"
Non ricordo se da regolamento è vietato postare link esterni quindi ho scritto solo il titolo

Perché le passkey sono più sicure delle password?
A differenza delle password, le passkey possono esistere solo sui tuoi dispositivi. Non possono essere annotate o comunicate accidentalmente a un malintenzionato. Utilizzando una passkey per accedere al tuo Account Google, dimostri a Google di avere accesso al dispositivo e di essere in grado di sbloccarlo.

Rimuovere o disattivare le passkey
Se perdi un dispositivo su cui hai creato una passkey o se hai creato per sbaglio una passkey su un dispositivo condiviso, devi impedire che la passkey venga usata con il tuo Account Google.

Resta il fatto che se ho capito bene, per usare le passkey servono un sistema operativo e un browser aggiornato.
Se ad es io volessi usarla con windows 7 per entrare in un account google, non potrei.
Quindi anche se non le ho ancora usate, per ora continuo a preferire una "semplice" password complessa e diversa per ogni account.

[marcram]

Quote:

Originariamente inviato da Neo123

Ho appena letto, e premesso che ancora non ho mai usato una passkey, ho fatto qualche ricerca per avere più informazioni.
Ed effettivamente hai ragione, le passkey sono modificabili, anche se io mi riferivo alle informazioni biometriche.

Le informazioni biometriche sono strettamente legate allo sblocco del dispositivo in cui hai memorizzato la passkey, ma non hanno nessun legame con le passkey.
Semplicemente, con l'impronta sblocchi il password manager del telefono, all'interno del quale è memorizzata la passkey.
La stessa passkey può essere memorizzata in un secondo telefono, protetto da un'altra impronta, o sul pc protetta da una password...

Quote:

Riguardo google
questo è quello che ho letto nella pagina di supporto:

"Accedere con una passkey anziché con una password"
Non ricordo se da regolamento è vietato postare link esterni quindi ho scritto solo il titolo

Perché le passkey sono più sicure delle password?
A differenza delle password, le passkey possono esistere solo sui tuoi dispositivi. Non possono essere annotate o comunicate accidentalmente a un malintenzionato. Utilizzando una passkey per accedere al tuo Account Google, dimostri a Google di avere accesso al dispositivo e di essere in grado di sbloccarlo.

Non è vero. La passkey è una chiave, è un po' lunga, ma se voglio scriverla su un foglio lo faccio tranquillamente.
Quello che cambia da una normale password è che non hai motivo di scriverla o prenderla per mano, puoi lasciarla sempre nascosta nella memoria protetta del dispositivo in cui è memorizzata.

Quote:

Rimuovere o disattivare le passkey
Se perdi un dispositivo su cui hai creato una passkey o se hai creato per sbaglio una passkey su un dispositivo condiviso, devi impedire che la passkey venga usata con il tuo Account Google.

Questo è ovvio. Se perdi il dispositivo, è buona norma cambiare le password che ci sono memorizzate dentro...

Quote:

Resta il fatto che se ho capito bene, per usare le passkey servono un sistema operativo e un browser aggiornato.
Se ad es io volessi usarla con windows 7 per entrare in un account google, non potrei.
Quindi anche se non le ho ancora usate, per ora continuo a preferire una "semplice" password complessa e diversa per ogni account.

Motivo per cui una passkey non dovrebbe essere l'unico metodo di autenticazione, ci dovrebbe sempre essere un metodo alternativo.

Quote:

Originariamente inviato da destroyer85

Domanda da ignorante di passkey ma di conoscitore di certificati:
se cambio una passkey, la parte privata, cosa succede a tutti i precedenti login fatti con "autenticandosi" con quella chiave privata?
Questa chiave privata ha una scadenza come i certificati SSL e va rinnovata ogni tot mesi?

Se la sessione rimane aperta, vuol dire che c'è un cookie memorizzato sul dispositivo su cui hai fatto il login. Se cambi la chiave privata (e quindi dovrai di conseguenza sincronizzare quella pubblica sul server del servizio), non so, il servizio potrebbe annullare i cookie di connessione ancora validi, oppure lasciarli attivi. Penso dipenda da come il servizio sceglie di implementare la cosa...

[zappy]

Quote:

Originariamente inviato da marcram

...
Non è vero. La passkey è una chiave, è un po' lunga, ma se voglio scriverla su un foglio lo faccio tranquillamente.
Quello che cambia da una normale password è che non hai motivo di scriverla o prenderla per mano, puoi lasciarla sempre nascosta nella memoria protetta del dispositivo in cui è memorizzata....

che non esiste... visto che tutto è bucabile.

[AlPaBo]

Quote:

Originariamente inviato da zappy

che non esiste... visto che tutto è bucabile.

Il solito commento banale.

Certo, tutto è bucabile. Ma molti dimenticano che c'è differenza tra essere bucabile in poche ore e il richiedere attività molto complesse. Se consideri come buono=non bucabile e cattivo=bucabile allora tutto è cattivo, per cui tanto vale fare a meno di un sistema di autenticazione. Ragionare in bianco e nero porta a dire delle sciocchezze.

I sistemi di autenticazione vanno valutati in base alla complessità del superamento e dell'importanza del contenuto. Chi si limita a voler fare il ladro di identità, se trova un sistema complesso passa a un'altra vittima. Se sei un importante personaggio politico ti fai fare un cellulare ad hoc dall'NSA (e non usi Telegram).

Come per le porte. Se tieni qualche elettrodomestico di valore a casa ti fai una porta corazzata. Se vuoi conservare dei gioielli di grande valore, li metti in una banca o ti fai dare le indicazioni dalla tua assicurazione. Una porta normale non ferma neppure il ladro dilettante.

Il sistema delle passkey è come una porta corazzata. Ferma il dilettante e dissuade il professionista, dato che prima verifica quanto è utile la tua identità. La password è una porta normale, facile da superare con i tool disponibili sul mercato. Se vuoi qualcosa di più ti rivolgi ai superesperti o alla NSA. E scommetto che anche loro sono bucabili.

[mrk-cj94]

Quote:

Originariamente inviato da AlPaBo

Il solito commento banale.

Certo, tutto è bucabile. Ma molti dimenticano che c'è differenza tra essere bucabile in poche ore e il richiedere attività molto complesse. Se consideri come buono=non bucabile e cattivo=bucabile allora tutto è cattivo, per cui tanto vale fare a meno di un sistema di autenticazione. Ragionare in bianco e nero porta a dire delle sciocchezze.

I sistemi di autenticazione vanno valutati in base alla complessità del superamento e dell'importanza del contenuto. Chi si limita a voler fare il ladro di identità, se trova un sistema complesso passa a un'altra vittima. Se sei un importante personaggio politico ti fai fare un cellulare ad hoc dall'NSA (e non usi Telegram).

Come per le porte. Se tieni qualche elettrodomestico di valore a casa ti fai una porta corazzata. Se vuoi conservare dei gioielli di grande valore, li metti in una banca o ti fai dare le indicazioni dalla tua assicurazione. Una porta normale non ferma neppure il ladro dilettante.

Il sistema delle passkey è come una porta corazzata. Ferma il dilettante e dissuade il professionista, dato che prima verifica quanto è utile la tua identità. La password è una porta normale, facile da superare con i tool disponibili sul mercato. Se vuoi qualcosa di più ti rivolgi ai superesperti o alla NSA. E scommetto che anche loro sono bucabili.

concordo