Windows 10 vuole sostituire le password con i PIN

Quando Windows 10 è apparso per la prima volta sulla scena, consentiva già agli utenti di impostare PIN anziché password. Quel metodo di accesso era facoltativo, ma ora Microsoft ha deciso di sostituire completamente le password con i PIN .

L'azienda vuole dare una scossa alle cose con la versione successiva di Windows 10, attualmente nota come 20H1. Previsto per arrivare entro un mese o due, l'ultimo aggiornamento ha molti cambiamenti sorprendenti in serbo.

Degna di nota è la decisione di Microsoft di eliminare le password a favore dei PIN. Ma cosa significa per gli utenti di Microsoft 10 e la sicurezza in generale?

Perché Microsoft passa ai PIN?

Le password sono un metodo di autenticazione universale. Puoi utilizzare le password per la maggior parte dei dispositivi, app, siti Web e software come Windows. Eppure, le password non sono il metodo di autenticazione più sicuro. A volte sono così facili che si possono indovinare. In caso contrario, ci sono molti modi diversi per decifrare le password.

Se una password viene compromessa (cosa che spesso accade a causa di violazioni dei dati), sono a rischio più dispositivi e account. Quando si tratta di un account Microsoft, significa che l'attaccante ha accesso a tutto ciò che è collegato a quell'account. Che, tra le altre cose, possono includere documenti riservati, note, app, e-mail e informazioni sulla carta di credito.

Nel frattempo, un PIN protegge solo il dispositivo su cui lo utilizzi. Microsoft non sincronizza i PIN tra dispositivi, non li archivia sui loro server e non li invia mai tramite la connessione di rete. Questo è il motivo per cui Microsoft ha scelto di utilizzare questa opzione. Diana Huang, direttore dell'ingegneria per la sicurezza di Windows , lo ha spiegato ulteriormente in questo post.

Ha detto che le password sono chiavi simmetriche e "c'è sempre un server che tiene traccia della tua password o della chiave simmetrica". I PIN forniscono la crittografia entropica e non rimangono su un server ma sul dispositivo.

Microsoft archivia il PIN di accesso in locale su un chip TPM resistente alle manomissioni. Usano una crittografia robusta per garantire che rimanga a prova di stampa. Ogni volta che inserisci il PIN, il TPM lo sale per creare un hash. Viene quindi confrontato con il valore memorizzato sul dispositivo.

Attualmente, anche le password sono soggette a hash, ma sono anche facili da decifrare. Diversa è la situazione con i PIN, come spiega in dettaglio anche questo post di Microsoft .

Per saperne di più: Microsoft è pronta per una nuova era di Windows

I vantaggi e gli svantaggi dell'utilizzo di un PIN

I PIN sono semplici e non sono una nuova forma di autenticazione. Anche il modo in cui Microsoft ora punta a usarli non è una nuova forma di sicurezza.

Molti avevano utilizzato i PIN prima che Internet diventasse una necessità quotidiana, e anche dopo. E dopo tutto questo tempo, sono ancora una forma di autenticazione sicura perché:

1. Sono memorizzati localmente sul dispositivo e non vengono trasmessi online.
2. Il PIN è supportato dalla crittografia hardware sui dispositivi su cui è installato un chip TPM (Trusted Platform Module) .

Il vantaggio più significativo di un PIN è che nessuno può rubarlo in caso di violazione dei dati. Anche gli attacchi di malware o spray non possono danneggiarli. Anche se il pin viene compromesso, l'attaccante non sarebbe comunque in grado di farci nulla a meno che non abbia accesso a quel dispositivo.

Uno degli unici modi in cui qualcuno può accedere a un account Windows con un PIN è se vede qualcuno inserirlo e poi rubare il dispositivo.

Nel frattempo, è possibile e facile rubare le password. Le aziende li archiviano su server separati e li inviano su Internet. I PIN non hanno questo problema.

Detto questo, c'è ancora un grande avvertimento a questo. Alcuni virus e malware garantiscono agli aggressori l'accesso completo al dispositivo. Quindi un hacker non avrebbe nemmeno bisogno dell'accesso diretto al computer per comprometterlo. Quindi, mentre il nuovo sistema PIN di Windows è molto più sicuro delle password, non commettere l'errore di pensare che sia infallibile. Un falso senso di sicurezza genera compiacimento.

Anche se i PIN sono più sicuri, gli utenti di Windows 10 devono comunque essere vigili e proteggere i propri dispositivi da attacchi esterni o furti.

Ulteriori informazioni: Office 365 è ora Microsoft 365, con nuovi piani familiari e personali

Il futuro delle password sembra desolante?

Non del tutto. Nonostante la spinta di Microsoft a eliminare le password, sono ancora la forma di autenticazione più comune. Almeno per ora. Altri metodi di autenticazione come l'impronta digitale e il riconoscimento facciale si stanno diffondendo. Ma sono ancora lontani dall'essere mainstream.

Quindi per ora, insicure o meno, le password rimangono il primo cane dell'autenticazione. Ma ciò non significa che le persone non possano stare al sicuro mentre usano le password.

A parte le massicce violazioni dei dati, molte persone possono incolpare se stesse di essere state violate. La maggior parte ha terribili abitudini di password, incluso l'utilizzo di password comuni e semplici. E, naturalmente, molti riutilizzano la stessa password su tutti i loro account.

Alcuni strumenti esistono e possono aiutare ad alleviare il problema. Ad esempio, i gestori di password consentono alle persone di creare molte password complicate senza doverne ricordare nessuna. Devono ricordare solo una password principale. Risolve già molti dei problemi associati alle password.

A parte i gestori di password, è anche fondamentale seguire le pratiche di sicurezza informatica di base. È essenziale evitare minacce come attacchi di phishing. Questo è un altro metodo popolare utilizzato dagli hacker per rubare le password.

Inoltre, la 2FA sta diventando sempre più mainstream. Alcune piattaforme, ad esempio Yahoo, utilizzano già passcode temporanei invece di password. Garantisce che una password compromessa da sola non dia ai criminali informatici un facile accesso agli account.

I PIN potrebbero essere il nuovo futuro per Microsoft, ma il resto del mondo è ancora nel campo della "password" . Quindi, anche se il passaggio ai PIN è inevitabile su Windows, le password sono ancora rilevanti, così come le abitudini di password sicure.

Conclusione

Microsoft passerà presto ai PIN obbligatori per Windows e questa è una buona cosa. L'uso di un PIN è un modo molto più sicuro per proteggere i dispositivi e gli account Microsoft. Detto questo, le password non scompariranno del tutto per il resto del mondo, anche se l'ecosistema Windows ha deciso di andare oltre senza di esse.