Parlando di siti web, applicazioni, servizi o sistemi informatici, ciò che balena nella mente in prima battuta è la modalità di accesso. Che il login avvenga via password o meno è un dettaglio che passa inosservato, poiché si tratta di una consuetudine ripetuta nel tempo.
Al pari di ogni altro automatismo, si effettuano le procedure richieste, evitando di farsi troppe domande su quello che avviene dietro lo schermo.
Non tutti sanno però che ognuna delle metodologie, via password, login senza password o autenticazione a due fattori racchiudono un universo a sé di caratteristiche, rischi e benefici peculiari. Perché alcuni metodi sono più vantaggiosi e qual è il migliore per cui propendere, se si ha la possibilità di selezionarne uno? Non resta che scoprirlo.
Abitualmente, è necessario che esse coincidano per portare a compimento il procedimento.
Se quanto inserito dall’utente non combacia con ciò che è stato salvato sul database, è impossibile accedere. Il login senza password prevede, invece, che la chiave venga resa disponibile all'utilizzatore esclusivamente durante la richiesta di autenticazione, via sms, email o altro veicolo; lo stesso vale per l’identità biometrica, come il riconoscimento delle impronte digitali o del viso. Niente, dunque, da memorizzare per un uso successivo.
Di regola si basa su una password temporanea, valida per un solo ingresso comunemente chiamata OTP, generata su un device differente da quello in uso, in modo che non vi sia comunicazione diretta tra i due oggetti.
Solitamente, viene utilizzato in tandem con una chiave di stampo comune, a sommarsi con altre di tipo biometrico, comunicate via posta elettronica o sms, oppure generate o depositate su supporti USB o altri strumenti simili.
Sempre in fatto di autenticazione a due o più fattori, bisogna considerare se uno di questi è rappresentato da una normale password. Tale eventualità darebbe un aiuto al lavoro di un eventuale hacker, visto che il codice potrebbe essere facilmente scoperto con raggiri neanche particolarmente elaborati. Sono sufficienti dei database hackerati, un attacco brute-force o, semplicemente, un dato recuperabile rapidamente per rendere rischiosa la situazione.
Ulteriore elemento da non sottovalutare è la facilità d'uso. Più sono gli elementi tecnici in gioco e più l’utente rischia problemi ad accedere.
Può apparire una considerazione fuorviante ma l'immediatezza è uno dei motivi per i quali in molti, davanti alla selezione della tecnologia per l'accesso, tendono a scegliere il format base: più veloce, semplice e non richiede di dover avere a portata di mano telefoni o messaggi. Unica eccezione, almeno al momento, è quella della verifica con impronte digitali e scansione facciale: nel corso degli anni, gli utenti hanno imparato a destreggiarsi riducendo al minimo le difficoltà. Vero che con l’utilizzo delle mascherine, diventate più comuni negli ultimi mesi, l'ok attraverso la comparazione del volto sta dando filo da torcere sia agli utilizzatori che agli sviluppatori che, in certi casi, sono stati costretti a trovare soluzioni alternative o complementari.
Diversa è la storia quando vi sono token, link o codici. Nell'istante in cui si chiede di sfruttare tool esterni, vedi di smartphone o email, spesso le lacune e i bug nascosti si trasformano in veicoli perfetti per consentire ai cybercriminali di prendere possesso di dati cruciali in pochi e rapidi step, lasciando una porta aperta sulle nostre informazioni più importanti. Non esiste, quindi, un metodo migliore in assoluto, se non una scelta dettata dalle necessità e dall’applicazione. Ciascuna alternativa ha le sue luci e ombre, capaci di far decidere verso l’una o l’altra metodologia secondo valutazioni ragionate e legate alla semplicità di implementazione.