Bitwarden ha comunicato che gli utenti possono effettuare il login al web vault con una passkey. Non servono quindi la tradizionale coppia email/password e l’autenticazione in due fattori. Ciò elimina la necessità di ricordare lunghe sequenze di caratteri e riduce a zero il rischio di phishing.
Passkey con PRF WebAuthn
L’uso di una passkey per l’accesso all’account combina la sicurezza del nuovo sistema di autenticazione con la protezione della crittografia end-to-end. Questa opzione è disponibile per tutti i piani di Bitwarden, incluso quello gratuito. Nel video viene mostrata la procedura per la creazione e l’uso della passkey.
La software house spiega che le applicazioni con crittografia end-to-end, come Bitwarden, richiedono una chiave statica per l’autenticazione e la cifratura/decifrazione dei dati (ad esempio derivata da una password). Durante la procedura di login con passkey vengono generati differenti valori per ogni autenticazione. Inoltre, la passkey non viene memorizzata nell’applicazione, quindi non può essere usata per la cifratura/decifrazione.
Bitwarden sfrutta quindi l’estensione PRF WebAuthn per derivare una chiave crittografica fissa e unica dalla passkey che può essere utilizzata per l’autenticazione e la cifratura/decifrazione dei dati. La passkey creata nel video viene salvata su una security key, ma è possibile usare anche computer, smartphone e tablet.
Il supporto per le passkey è attualmente in versione beta ed è compatibile solo con il client web. Gli utenti devono usare browser basati su Chromium, come Google Chrome e Microsoft Edge, in quanto gli unici che al momento supportano PRF WebAuthn.