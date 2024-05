Dopo decenni di dominio incontrastato, l’era delle password sembra volgere verso il viale del tramonto… I colossi tech, infatti, stanno implementando le passkey, un sistema di login più sicuro e pratico. Le tradizionali password presentano ormai note criticità in termini di sicurezza, esponendo gli utenti a rischi come violazioni di dati, phishing e furto d’identità.

Oltre ai noti problemi di sicurezza, le password presentano un ulteriore inconveniente per gli utenti: la difficoltà di doversele ricordare, tutte! Questo porta molte persone a utilizzare la stessa password su più piattaforme e servizi, con evidenti rischi in caso di violazione dei dati. Se la password di un account viene compromessa, diventa più semplice per i criminali informatici accedere anche agli altri account protetti dalla stessa password.

Che cos’è la passkey o chiave d’accesso

Una passkey è un sistema di autenticazione senza password, progettato per essere più sicuro e facile da usare rispetto alle tradizionali password. Le passkey, infatti, utilizzano la crittografia a chiave pubblica per garantire che nessuna informazione sensibile venga condivisa tra il dispositivo dell’utente e il server, rendendo così impossibile il furto o la contraffazione delle credenziali.

Come funzionano le passkey?

Le passkey sfruttano la tecnologia Bluetooth Low Energy (BLE) e il protocollo FIDO per l’autenticazione senza password.

Quando ci si registra ad un servizio con passkey, viene generata una coppia di chiavi crittografiche: una chiave pubblica che viene inviata e archiviata dal servizio, e una chiave privata che rimane sul dispositivo dell’utente.

Ad ogni login successivo, il servizio invierà una richiesta di autenticazione tramite Bluetooth al dispositivo. A questo punto l’utente dovrà sbloccare il dispositivo tramite biometria (impronta, volto) o PIN per approvare la richiesta. In questo modo la chiave privata firma la richiesta di accesso generando una credenziale pubblica univoca valida solo per quella sessione.

Le passkey vengono sincronizzate automaticamente su tutti i dispositivi dell’utente tramite il cloud. Quando si configura un nuovo dispositivo, basta autenticarsi una volta con le credenziali del proprio account per sincronizzare le passkey. In parole povere, la passkey è la versione digitale di una chiave magnetica.

Che cos’è una password

La password è una stringa di caratteri alfanumerici utilizzata per l’autenticazione durante l’accesso a un sistema o servizio, abbinata ad un nome utente. Le password devono essere tenute segrete e modificate periodicamente dall’utente per garantire adeguati livelli di sicurezza. Inoltre, possono variare per lunghezza e complessità, includendo lettere maiuscole e minuscole, numeri e caratteri speciali.

Uno dei problemi più diffusi è che gli utenti faticano a ricordare password complesse e diverse per ogni account. Ne consegue il fenomeno del riutilizzo della stessa password su più piattaforme, con evidenti rischi di sicurezza. Per ovviare a questa problematica, si ricorre ai gestori di password che, tramite un’unica chiave d’accesso principale, consentono agli utenti di generare e memorizzare password univoche e complesse per ogni servizio.

Tuttavia anche i gestori di password presentano criticità, poiché se la master password viene compromessa, infatti, vengono compromessi tutti gli account in essa contenuti.

I vantaggi della passkey

Le passkey offrono numerosi vantaggi rispetto alle password tradizionali:

Sicurezza: Le passkey non possono essere rubate o contraffatte, poiché non viene condiviso alcun segreto tra il dispositivo dell’utente e il server. Facilità d’uso: Non è necessario memorizzare le passkey, rendendo l’esperienza utente più fluida e comoda. Sincronizzazione tra dispositivi: Le passkey possono essere sincronizzate tra diversi dispositivi, garantendo un accesso senza interruzioni su tutti i dispositivi in cui è presente il gestore di password.

In che modo le passkey sono più sicure delle password?

Le password, per quanto siano da decenni lo standard per l’autenticazione online, presentano ormai varie e note criticità in termini di sicurezza. Gli utenti devono crearle, gestirle e ricordarle (soprattutto!), il che porta spesso a riutilizzare le stesse password su più servizi o a creare password deboli e facili da violare. Inoltre, le password digitate possono essere intercettate tramite keylogger o sniffing del traffico di rete. E anche quando vengono archiviate in modo sicuro dai servizi, possono essere oggetto di violazioni dei dati, con conseguente furto di credenziali su larga scala.

Le passkey rappresentano un nuovo paradigma, che supera alla base queste vulnerabilità. La chiave privata non viene mai vista o gestita dall’utente, ma è archiviata in modo sicuro all’interno di un chip dedicato nei dispositivi. L’autenticazione avviene in locale tramite biometria o PIN. Ciò significa che né keylogger né sniffing possono intercettare le credenziali.

Inoltre, poiché non esiste una password da violare o indovinare, risulta estremamente più complesso per gli hacker compromettere gli account. Anche se i dati dell’utente venissero violati, i criminali non potrebbero nulla senza l’accesso fisico ai dispositivi dove risiedono le chiavi crittografiche. Perciò l’adozione delle passkey su larga scala potrebbe davvero segnare una svolta epocale per la protezione dell’identità digitale.

Come s’imposta una passkey

Per creare un passkey, la procedura può variare a seconda del dispositivo o del servizio utilizzato. In generale, ecco i passaggi da seguire:

Accedere alle impostazioni o alla sezione sicurezza del dispositivo o del servizio.

Cercare un’opzione per impostare una passkey.

La procedura potrebbe richiedere la registrazione della chiave con il dispositivo o il servizio. Potrebbe anche essere necessario impostare metodi di autenticazione biometrica, come le impronte digitali o il riconoscimento facciale, per utilizzare la passkey.

Confermare la passkey e salvate le modifiche.

Impostazione di una passkey in Apple

Per impostare una passkey sul Mac, bisogna assicurarsi di aver impostato iCloud Keychain. Quando viene visualizzata l’opzione per salvare una passkey per l’account, scegliere la modalità di accesso:

Touch ID sul Mac: Posizionare il dito sul sensore Touch ID.

Scansione di un codice QR con l’iPhone o l’iPad: Fare clic su Altre opzioni.

Chiave di sicurezza esterna: Fare clic su Altre opzioni.

Quali dispositivi supportano le passkey?

La maggior parte dei browser e dei dispositivi moderni supporta le passkey. Ciò include la maggior parte dei dispositivi Apple con macOS o iOS 16+ (Mac, Macbook, iPad, iPhone) dotati di funzionalità Touch ID o Face ID, i dispositivi Microsoft con Windows Hello abilitato e i dispositivi Android.

Inoltre, browser e sistemi operativi come Chrome, Firefox e Safari offrono il supporto per le passkey. Anche Google supporta le passkey, il che significa che qualsiasi utente con un account Google può ora accedere con una passkey alle proprie applicazioni Google.

Perché le aziende stanno passando all’autenticazione senza password?

Le password presentano da tempo problematiche sia per gli utenti che per le aziende. Gli utenti faticano a gestire password complesse e diverse per ogni servizio, finendo per riutilizzare le stesse credenziali ovunque. Ciò espone le aziende a rischi enormi in caso di violazione dei dati, poiché la compromissione di un account permette l’accesso a cascata a tutti gli altri servizi della vittima.

Inoltre, le password sono vulnerabili a diversi vettori di attacco come phishing, keylogger e attacchi brute-force, che si basano sull’utilizzo di software che prova in modo automatizzato e velocissimo tutte le possibili combinazioni di caratteri finché non viene individuata quella corretta Anche soluzioni più evolute come gestori di password e autenticazione a due fattori non eliminano del tutto questi rischi.

Per tali ragioni, aziende leader del settore come Apple, Google e Microsoft stanno collaborando per adottare e standardizzare una nuova tecnologia di autenticazione senza password basata su crittografia asimmetrica, biometria e prossimità come il Bluetooth.