Cosa sono le passkey? Come funziona questo nuovo sistema di autenticazione?
Considerando che ogni persona ha mediamente 90 account online, le password, o meglio la gestione di queste, risulta essere un problema enorme. Pensate che l’80% dei “data breach” (fughe di dati) è dovuta a password che vengono “indovinate” perché troppo semplici o perché non rispecchiano i criteri di sicurezza. La fonte di questi dati è la FIDO Alliance (Fast IDentity Online Alliance), un’associazione delle principali aziende di software e hardware mondiali che nasce con lo scopo di ridurre la dipendenza del mondo dalle password. È a questa associazione che dobbiamo l’ideazione delle passkey e dei criteri su cui si basa questo nuovo sistema di autenticazione.
Se siete interessati all’argomento sicurezza online non potete perdervi il nostro articolo riguardo alle password sicure, dal quale abbiamo prodotto anche un video.
Oggi abbiamo fatto un passo in avanti rispetto alla “vecchia” password. Stiamo, infatti, per sperimentare un nuovo sistema di autenticazione che ci permetterà di vivere senza password: la passkey.
Prima delle passkey: la sicurezza online fino ad oggi
Fino ad ora, autenticarsi per accedere ad un sito ha significato una cosa soltanto: inserire un nome utente e una password. Nei casi in cui era richiesta una sicurezza maggiore (per esempio nell’home banking), era richiesta un’autenticazione a due fattori, ovvero la generazione di un codice univoco valido per pochi secondi che va ad aggiungersi ad utente e password e senza il quale l’autenticazione non è completa.
Per la gestione dell’autenticazione a due fattori sono state adottate soluzioni diverse nel corso degli anni. In passato abbiamo utilizzato dei dispositivi hardware, chiamati token: oggetti che sicuramente garantivano una maggior sicurezza, ma che, richiedendo il possesso di un dispositivo fisico per ogni servizio, non potevano essere distribuiti su larga scala.
Oggi, la cosiddetta 2FA (autenticazione a due fattori), si ottiene in maniera più immediata tramite app su smartphone. Il codice, che prima veniva generato dal token fisici, oggi viene generato direttamente dalle app. Data la diffusione degli smartphone è stato possibile diffondere l’utilizzo dell’autenticazione a molte più persone e per diverse tipologie di accesso. Oltre al classico sistema di home banking per esempio, è possibile impostare un’autenticazione a due fattori anche per gli account social e per tanti siti.
Il sistema delle autenticazioni a due fattori alza decisamente il livello di sicurezza, ma non è ancora perfetto. È infatti possibile che questo sistema venga aggirato da individui malintenzionati con un’alta competenza informatica.
Cosa sono le passkey?
La passkey sostituisce a tutti gli effetti la password, garantendo accessi più veloci e soprattutto più sicuri, con l’ulteriore vantaggio di non doversi ricordare nulla. La passkey consiste in un sistema di autenticazione, basato sulla crittografia a chiave pubblica, ideato per resistere agli attacchi di phishing.
Per ogni singolo accesso viene generata una coppia di chiavi: una privata che resta nel dispositivo dell’utente, protetta da un accesso biometrico (impronta digitale o scansione del viso), l’altra pubblica, che resta sul sito al quale si vuole accedere, associata all’account dell’utente.
La chiave pubblica e quella privata si completano e funzionano solo se associate l’una all’altra:
- Se cifro un messaggio con la mia chiave privata, chiunque abbia la chiave pubblica può decifrarlo. Questo serve per certificare la mia identità.
- Viceversa, se un messaggio viene cifrato con la mia chiave pubblica, tale messaggio si potrà decifrare solamente con la mia chiave privata, questo consente di inviare una comunicazione con la garanzia che solo io possa leggerla, grazie alla chiave privata custodita sul mio smartphone.
In questo modo si utilizza un sistema estremamente sicuro rispetto a quello a cui siamo abituati fino ad ora di utente e password.
Come funziona l’accesso a un sito tramite passkey?
Vediamo i passaggi necessari per effettuare un accesso tramite passkey.
- Al momento del login, il mio dispositivo farà una richiesta di login al sito, associata al mio account.
- Il sito web o servizio cui sto accedendo invierà una domanda cifrata con la chiave pubblica associata al mio account.
- Solamente il mio dispositivo (su cui è salvata la mia chiave privata) potrà decifrare la domanda e conseguentemente dare la risposta, cifrandola con la mia chiave privata.
- Il sito o servizio, ricevendo la risposta, cifrata con la mia chiave privata, avrà la certezza che sia stata inviata dal mio dispositivo e, una volta verificata la correttezza, mi abiliterà all’accesso.
Come si può vedere dallo schema sopra, nessuna informazione critica viene scambiata con il sito al quale sto accedendo: questo permette alle passkey di essere immuni alle fughe di dati e ad attacchi di tipo “man in the middle” che puntano ad intercettare le comunicazioni tra il nostro dispositivo e il web.
Le passkey sono resistenti anche agli attacchi di Phishing: quelli in cui finte mail o sms, ci spingono ad eseguire un login su siti simili a quelli a cui abbiamo accesso precedentemente per rubarci le credenziali.
Infine, le passkey sono estremamente convenienti e facili da usare per tutti quegli utenti che sceglieranno di usare il proprio smartphone con accesso biometrico (la propria impronta digitale o scansione facciale) per fare login al servizio.
Esempio per un account Google:
Moltissimi siti stanno già implementando questo nuovo metodo di accesso sicuro. Si tratta di una novità tecnologica che ci permetterà di vivere la nostra vita digitale con minore stress e maggiore sicurezza.