La passkey è una nuova tecnologia che permette di accedere a dispositivi, account online e applicazioni senza utilizzare le password, bensì sfruttando l’autenticazione biometrica dell’utente.
Al momento della registrazione di un account, viene generata una chiave crittografica unica, detta appunto passkey, che viene associata in modo sicuro all’identità biometrica dell’utente, ad esempio il suo volto, la sua impronta digitale o il PIN.
Che differenza c’è tra una passkey e una password
Nonostante i nomi simili, le passkey sono molto diverse dalle password.
Che cos’è la password
Una password è una stringa di caratteri che gli utenti devono fornire quando accedono a un sito web o a un’applicazione, di solito insieme a un nome utente. Per prevenire le violazioni dei dati e l’acquisizione di account, gli esperti di cyber sicurezza raccomandano che le password siano composte dai seguenti elementi:
- Un minimo di otto caratteri;
- Uso di caratteri speciali, senza alcun obbligo particolare di utilizzarli;
- Limitazione di caratteri sequenziali e ripetitivi (ad esempio, 123456 è una delle password più comuni!);
- Limitazione di password specifiche per il contesto (ad esempio, il nome del sito);
- Limitazione delle password comunemente utilizzate e delle parole del dizionario (password, password99).
Che cosa è la passkey?
La passkey è una nuova tecnologia di autenticazione che utilizza la crittografia a chiave pubblica per consentire agli utenti di connettersi a siti web e applicazioni senza dover inserire una password. Per intenderci, gli utenti si autenticano nello stesso modo in cui sbloccano i loro telefoni e tablet: con l’impronta digitale, il volto o altri elementi biometrici, utilizzando un modello di scansione o inserendo un PIN. Per motivi pratici, la maggior parte delle persone opta per l’autenticazione biometrica.
Invece di creare una password per accedere a un account, gli utenti generano una chiave di accesso (che in realtà è una coppia composta da una chiave privata e da una chiave pubblica) utilizzando un autenticatore. Questo autenticatore può essere un dispositivo, come uno smartphone o un tablet, un browser web o un gestore di password che supporta la tecnologia passkey.
Prima di generare una chiave d’accesso, l’autenticatore chiede all’utente di identificarsi utilizzando un PIN, un modello di scansione o dati biometrici. L’autenticatore invia quindi la chiave pubblica (che equivale all’incirca a un nome utente) al server Web dell’account per la memorizzazione, mentre l’autenticatore memorizza in modo sicuro la chiave privata a livello locale. Se l’autenticatore è uno smartphone o un altro dispositivo, la chiave privata viene memorizzata nel portachiavi del dispositivo. Se l’autenticatore è un gestore di password, la chiave privata viene memorizzata nel caveau crittografato del gestore di password.
Come attivare una passkey
Per creare una nuova passkey, l’utente deve prima accedere normalmente al proprio account sul sito o app che supporta questa tecnologia. Nelle impostazioni di sicurezza, attiva l’opzione per configurare una passkey. A questo punto il sito chiederà di registrare una passkey specifica per quel servizio, associandola ad uno dei dispositivi dell’utente.
L’utente dovrà quindi autenticarsi in modo biometrico (impronta o riconoscimento facciale) per confermare la richiesta. La passkey verrà memorizzata in locale sul dispositivo scelto. Nei successivi accessi, al posto di inserire la password l’utente utilizzerà la propria identità biometrica tramite la passkey.
Se il browser permette la sincronizzazione, la stessa passkey potrà essere utilizzata su più dispositivi dell’utente. Se invece si vuole accedere da un dispositivo dove non è presente la passkey, è possibile usare un altro device per completare l’autenticazione, ad esempio scansionando un codice QR o tramite Bluetooth per garantire la vicinanza fisica.
Cosa succede a livello di server
Quando l’utente prova ad accedere al suo account utilizzando la passkey, il server dell’account manda una “sfida” all’autenticatore, ovvero uno smartphone o altro dispositivo dove è memorizzata la passkey dell’utente.
Questa sfida è costituita da una stringa di dati casuali generata dal server. L’autenticatore utilizza la chiave privata associata alla passkey per firmare attraverso crittografica questi dati e restituire una “risposta” al server.
In pratica applica la chiave privata ai dati ricevuti e ne ricava una firma digitale univoca, che invia come prova della propria identità. Il server a questo punto può verificare questa firma utilizzando la chiave pubblica associata all’utente, che ha memorizzato in precedenza.
In questo modo il server può confermare l’identità dell’utente senza mai aver accesso alla sua chiave privata, aumentando la sicurezza. Le chiavi pubblica e privata sono matematicamente correlate, quindi la pubblica è sufficiente per verificare la firma di quella privata.
Le passkey sono più sicure delle password?
Le passkey sono più sicuri delle password, per una serie di motivi:
Perché le password funzionino, i server degli account devono memorizzarle (o almeno i loro hash) in modo che i dati memorizzati possano essere confrontati con la password inserita dall’utente. Come accennato nella sezione precedente, la tecnologia alla base delle passkey non richiede che i server di account memorizzino le chiavi private degli utenti, ma solo le loro chiavi pubbliche. Se il server dell’account viene violato, gli attori delle minacce avranno accesso solo alle chiavi pubbliche, che sono inutili senza le chiavi private che le accompagnano.
La maggior parte delle persone ha una scarsa igiene delle password. Utilizza password troppo brevi, che contengono parole del dizionario o informazioni biografiche facili da indovinare. Riutilizzano le loro password su diversi siti. E invece di usare un gestore di password, le memorizzano su post-it o in file di testo non criptati. Le chiavi di accesso, invece, sono generate dall’autenticatore dell’utente. Sono quindi sempre molto complesse e uniche per ogni utente e per ogni account, ogni volta.
Molte persone non proteggono i propri account con l’autenticazione a due fattori (2FA). Per loro stessa natura, le passkey si basano sull’autenticazione a due fattori. Per utilizzare una passkey, l’utente finale deve avere a portata di mano il proprio autenticatore, che soddisfa i seguenti criteri: qualcosa che l’utente è (il biometrico) e qualcosa che possiede (l’autenticatore).
A differenza delle password, le passkey non possono essere compromesse nei tentativi di phishing, in quanto è impossibile ingannare un utente per fargli inserire una passkey su un sito falso.
Le passkey non sostituiranno i gestori di password
Sebbene le passkey possano sostituire le password, non sostituiranno i gestori di password. Al contrario, i gestori di password diventeranno ancora più importanti. Le passkey sono collegate a un autenticatore. Gli utenti possono scegliere se utilizzare un dispositivo (di solito uno smartphone, ma anche un tablet, un computer portatile o un computer desktop) o un gestore di password che supporta le passkey.
A prima vista, l’uso di uno smartphone come autenticatore può sembrare l’opzione più logica, dato che la maggior parte delle persone porta il telefono sempre con sé. Tuttavia, poiché la maggior parte delle persone utilizza più dispositivi, questa soluzione si rivela presto poco pratica. Se un utente vuole accedere a un account o a un’applicazione su un altro dispositivo, come un laptop o un tablet, deve generare un codice QR su quel dispositivo, quindi scansionarlo con l’autenticatore e infine utilizzare i propri dati biometrici per accedere.
Quali siti usano le passkey
Al momento in cui scriviamo, il numero di siti web e applicazioni che supportano questa tecnologia è ancora esiguo. Apple, Microsoft, Best Buy, GoDaddy, PayPal, Kayak ed eBay sono tra i grandi nomi che al momento supportano questo metodo di autenticazione.
Tuttavia, le passkey stanno diventando sempre più popolari grazie alla loro praticità e sicurezza. Google ha incluso il supporto per le passkey in Chrome per Windows, Android e macOS già a dicembre 2022. Il supporto per iOS, Chrome OS e Android è stato introdotto successivamente.