Nel mondo della sicurezza informatica in continua evoluzione, le password tradizionali non sono più sufficienti.
Combinando la potenza della crittografia a chiave pubblica con l'autenticazione biometrica, le passkey creano una soluzione con cui non sarà mai necessario ricordare password oppure temere violazioni della sicurezza.
Con oltre 6 miliardi di accessi, nomi utente e password univoci disponibili sul dark web e con la maggior parte degli utenti che utilizza le stesse password su tutte le piattaforme, le passkey si sono affermate come una soluzione rivoluzionaria, offrendo un metodo di autenticazione molto più sicuro e semplificato.
La tecnologia Passkey offre quindi numerosi vantaggi il che la rende la scelta migliore, ma
cosa sono le passkey e quanto sono diverse dalle password?
Quali grandi attori guidano questa tendenza e integrano il supporto passkey nel loro ecosistema?
In questo articolo ne approfondiremo il significato, il loro funzionamento e il motivo per cui rappresenteranno il futuro della sicurezza online.
Pronti a tuffarvi nel futuro? Ok, cominciamo.
In parole povere, una passkey è una chiave crittografica progettata per sostituire le password.
Poiché le vecchie password potrebbero essere facilmente rubate, hackerate o addirittura decifrate, le passkey funzionano a un livello completamente diverso, con l'autenticazione tramite coppie di chiavi pubblica-privata.
Inoltre a differenza delle password, le passkey non possono essere condivise, ricordate o scritte. Ciò le rende molto meno vulnerabili ai tipi di attacchi che comunemente prendono di mira i sistemi basati proprio su password.
In sostanza, le passkey sono alimentate dalla crittografia asimmetrica che fornisce un'autenticazione forte e senza intoppi. Le passkey sfruttano coppie di chiavi pubbliche e private per autenticare gli utenti senza mai esporre informazioni sensibili.
Quando viene creata una passkey, vengono generate due chiavi crittografiche:
Ora che il significato della passkey è chiaro, passiamo a come funziona la loro magia:
Quando crei un account utilizzando le passkey, il tuo dispositivo crea una coppia di chiavi pubblica-privata.
La chiave pubblica è archiviata sui server del servizio mentre quella privata è archiviata in modo sicuro sul tuo dispositivo, all'interno di componenti dedicati progettati per conservare dati sensibili. Questi includono Secure Enclave sui dispositivi Apple, Trusted Platform Module (TPM) su Windows e Android e Samsung Knox per i dispositivi Galaxy. Questi componenti sono isolati dal processore principale e funzionano come una sorta di caveau, che anche in caso di attacco o violazione di malware, consentono ai dati sensibili degli utenti di rimanere al sicuro.
Le passkey funzionano anche su tutti i dispositivi ; grazie agli ecosistemi sicuri, le chiavi private vengono sincronizzate su tutti i dispositivi, rendendo l'autenticazione fluida su qualsiasi dispositivo in cui sia attivo un account cloud come iCloud o Google.
Al momento dell'accesso, invece di una password, il servizio chiede all'utente di utilizzare il meccanismo di sblocco del dispositivo.
Il dispositivo firma la sfida con la chiave privata e la invia al servizio per la verifica tramite la chiave pubblica. La chiave privata è limitata per dominio.
Il dispositivo inoltre crea una firma basata sul tempo per ogni tentativo di accesso e scade poco dopo la sua creazione, garantendo che, anche se intercettata, non possa essere riutilizzata o sfruttata.
Ciò avviene in tempo reale e garantisce un accesso estremamente sicuro e fluido.
In definitiva è come avere un buttafuori digitale super sicuro per tutti i tuoi account.
Sebbene la biometria risalga al 500 a.C. ossia ai tempi dell'impero babilonese, dove le impronte digitali venivano utilizzate su tavolette di argilla per l'identificazione, il primo sistema biometrico formale fu sviluppato a Parigi nel 1800 da Alphonse Bertillon, che utilizzava misurazioni corporee per identificare i criminali.
Mentre i primi sistemi di autenticazione biometrica hanno gettato le basi per la verifica dell'identità, l'evoluzione verso le passkey è iniziata nel 2012, quando aziende come PayPal e Lenovo hanno fondato la FIDO Alliance, con l'obiettivo di eliminare le password.
Nel 2013, l'iPhone 5S di Apple ha poi introdotto il Touch ID, accelerando l'adozione della biometria e aprendo la strada ad altre aziende che hanno integrato l'autenticazione biometrica.
La rivoluzione delle passkey è iniziata ufficialmente nel 2021, quando le principali aziende tecnologiche hanno adottato gli standard FIDO2 e WebAuthn per consentire l'autenticazione senza password, rendendole accessibili oggi a miliardi di utenti.
Una pietra miliare significativa nell'evoluzione delle chiavi di accesso è stata tuttavia l'approvazione delle chiavi di accesso sincronizzate da parte del NIST (National Institute of Standards and Technology) nel suo supplemento alle linee guida SP 800-63B .
Questo riconoscimento mette in luce la natura resistente al phishing delle passkey e il loro potenziale di sostituire le password tradizionali con soluzioni sicure e in modo più comodo per i loro proprietari.
Con l'approvazione del NIST, le chiavi di accesso sono oggi pronte per essere adottate su larga scala, soprattutto in settori regolamentati come quello bancario e sanitario, aprendo la strada alla prossima fase della verifica sicura dell'identità digitale.
L'adozione delle passkey sta prendendo piede, con i principali fornitori di browser/sistemi operativi in prima linea.
Apple, Google e Microsoft hanno già integrato il supporto per la tecnologia nei rispettivi ecosistemi, consentendo agli utenti di accedere ai loro ecosistemi con facilità.
Oltre a ciò, molti fornitori di servizi stanno già adottando la rivoluzione delle passkey e tra
più noti troviamo:
Diversi browser popolari hanno il supporto passkey integrato, tra cui:
Grandi colossi come GitHub, Dropbox e PayPal stanno attualmente abilitando l'uso di passkey per una maggiore sicurezza sui loro siti web.
Un numero crescente di grandi aziende ha adottato le passkey, tra cui:
Esistono due tipologie di passkey, che servono a diversi casi d'uso e, cosa più importante, con specifici requisiti di sicurezza. Tra le varie categorie che troverai mentre fai la tua ricerca nel mondo della sicurezza digitale, hai passkey multi-dispositivo e passkey vincolate al dispositivo. Cerchiamo di capire queste varianti.
Le passkey multi-dispositivo, note anche come passkey sincronizzate, sono la scelta ideale per l'uso personale. Si sincronizzano senza problemi tra i tuoi vari dispositivi, come telefono, tablet o laptop, a condizione che siano collegati al tuo account Apple, Google o Microsoft. Questa flessibilità ti consente di accedere ai vari account da tutti i tuoi dispositivi fidati.
Al contrario, le passkey vincolate al dispositivo sono i guardiani della fortezza del mondo aziendale: non potendo essere copiate perché vincolate a un solo dispositivo, aggiungono un ulteriore livello di sicurezza fondamentale per le aziende con rigide politiche di protezione dei dati.
Le passkey forniscono un nuovo livello di praticità e sicurezza sia per gli utenti che per gli sviluppatori. Ecco come fanno la differenza:
Anche le passkey presentano i loro svantaggi: essendo infatti ancora poco diffuse, non tutti i servizi le supportano ancora.
Se non implementate correttamente, il ripristino può essere difficile se si perdono tutti i dispositivi collegati. Inoltre, l'affidamento a ecosistemi come iCloud e Google Password Manager può limitare gli utenti che non utilizzano tali piattaforme.
Infine, c'è la curva di apprendimento per gli utenti che non hanno familiarità con questo nuovo metodo di autenticazione.
Tuttavia, questi svantaggi sono solo temporanei: man mano che i passkey saranno adottati su larga scala, il loro utilizzo diventerà molto più semplice e universale.
Le passkey rappresentano la nuova generazione di autenticazione e cercano di risolvere i limiti delle tradizionali password che gli utenti sono solitamente costretti a gestire riutilizzandole o semplificandole a causa dei limiti di memoria.
Le suddette password introducono punti deboli e semplificano notevolmente la vita degli aggressori.
Ecco alcuni punti chiave per cui le passkey sono migliori:
Il futuro di una passkey sarà davvero innovativo. Oltre alle impronte digitali e al riconoscimento facciale, che sono metodi di autenticazione biometrica utilizzati oggi, potremmo anche vedere in uso onde cerebrali, battiti cardiaci o persino DNA.
Inoltre, con l'uso della tecnologia blockchain, potrebbe entrare in gioco un'identità auto-sovrana, in cui le persone stesse hanno il controllo completo sui propri dati, utilizzando le chiavi di accesso come prova di identità universale.
Con l'evoluzione di tali tecnologie, sempre più persone si chiedono cos'è una passkey e come funziona. La crescente curiosità sta spingendo gli innovatori tecnologici a investire notevoli sforzi nello sviluppo e nel miglioramento di quest'area.
Non c'è dubbio che le chiavi di accesso cambieranno la sicurezza e l'identità digitale per le generazioni future.
Una volta spiegate le chiavi di accesso denominate Passkey, potresti volerle implementare nel tuo sito web o nella tua app.
Per maggiori informazioni, consulta la nostra guida all'integrazione della passkey .
La buona notizia è che non devi partire da zero per implementare le passkey poiché esistono molte soluzioni che accelerano il tuo percorso.
I provider di identità supportano infatti le passkey predefinite per una facile integrazione nei flussi di autenticazione.
Se quindi si desidera un controllo maggiore, librerie come SimpleWebAuthn o WebAuthn4J possono gestire la crittografia complessa lato server.
Per gli sviluppatori di app per dispositivi mobili, è tuttavia altrettanto semplice implementare le passkey utilizzando i servizi di autenticazione di Apple o l'API dei servizi di identità di Google.
Piattaforme come OwnID forniscono SDK e API completi, disponibili sia per gli sviluppatori web che per quelli mobili; OwnID supporta tale personalizzazione, analisi e conformità.
Con OwnID, gli sviluppatori hanno tra l’altro soluzioni passkey facili da usare e sicure che si integrano perfettamente nei tuoi sistemi con un minimo di righe di codice. Ciò consente di risparmiare tempo di sviluppo e garantisce una sicurezza solida, liberando gli sviluppatori per innovare e non per costruire infrastrutture.
Queste soluzioni passkey consentiranno quindi ai team di avviare i propri progetti in pochissimo tempo, senza dover reinventare la ruota, offrendo un metodo di autenticazione innovativo nel processo.
Le passkey rappresentano un tipo innovativo di autenticazione che sostituirebbe le password.
La crittografia a chiave pubblica consente al dispositivo di generare una coppia di chiavi in cui quella privata rimane conservata in un luogo sicuro mentre la pubblica viene fornita al servizio.
Apri un servizio o un'applicazione online che supporti le passkey e clicca sull'opzione per creare una passkey. Segui semplicemente queste istruzioni, che in genere prevedono l'autenticazione biometrica.
Le password normali vengono create dall'utente in una stringa di caratteri, le passkey vengono invece generate tramite chiavi crittografiche create e archiviate in modo sicuro sul tuo dispositivo. Le passkey sono inoltre immuni al phishing o alle violazioni dei dati rispetto alle password tradizionali.
Le passkey sono virtualmente non hackerabili. La chiave privata infatti non lascia mai il tuo dispositivo e questo richiede l'autenticazione biometrica, rendendole completamente immuni a phishing e violazioni.
Tra i possibili svantaggi dell'uso delle passkey rientrano l'adozione limitata, la dipendenza dell'accesso dai dispositivi e la difficoltà di recupero in caso di smarrimento di tutti i dispositivi.
Sono disponibili opzioni di recupero con la maggior parte delle piattaforme che offrono questa funzionalità come ad esempio l'utilizzo di un altro dispositivo collegato all'account o l'utilizzo di un codice di recupero. Si consiglia comunque vivamente di impostare dispositivi di backup o persino di utilizzare un metodo alternativo di recupero per accedere ai vari account.
Esatto, la maggior parte delle volte puoi usare la tua password tradizionale anche dopo aver impostato una passkey. La maggior parte dei servizi che supportano le passkey, sono compatibili con le password e rappresentano un forma alternativa di autenticazione.
