Close Menu
    martedì, Dicembre 16
    Trending
    Login
    Computer

    Addio password, benvenute Passkey

    Le Passkey, un'analisi approfondita della nuova frontiera dell'autenticazione online
    Graziano012 Mins Read74 Views
    passkeys vs passwords

    Le Passkey sono una tecnologia di autenticazione basata su standard come FIDO2 e WebAuthn. Stanno guadagnando sempre più attenzione come potenziale sostituto delle password tradizionali. Le Passkey promettono un’autenticazione più sicura, user-friendly e resistente al phishing. Vogliono cambiare il modo in cui accediamo ai nostri account online e ai nostri dispositivi.

    passkeys vs passwords

    Gli standard sono definiti dalla FIDO Alliance, un’organizzazione globale che si occupa di definire gli standard di autenticazione.

    Secondo i dati statistici riportati da FIDO Alliance, il problema delle password deboli o rubate è una delle principali cause di violazioni della sicurezza informatica. Nel 2023 si è registrato un aumento allarmante del phishing malevolo. In particolare il phishing delle credenziali, ha avuto un incremento del 1.265% rispetto al quarto trimestre del 2022. Inoltre, il 54% dei consumatori ha notato che i messaggi di phishing sono diventati più sofisticati. Questi dati evidenziano l’importanza di adottare soluzioni di autenticazione più sicure e user-friendly per contrastare le minacce informatiche in continua evoluzione.

    In questo articolo, esploreremo in dettaglio le Passkey; saranno confrontate con le password tradizionali e analizzati vantaggi, svantaggi e potenziali casi d’uso.

    Cos’è una Passkey ?

    logo passkey
    Logo ufficiale Passkey

    Una Passkey è una credenziale di autenticazione digitale basata sulla crittografia a chiave pubblica. A differenza delle password, che sono segreti condivisi tra l’utente e il servizio online, le Passkey utilizzano una coppia di chiavi digitali crittografiche; una chiave pubblica, condivisa e una chiave privata, archiviata in modo sicuro sul dispositivo dell’utente.

    Quando un utente crea una Passkey, il dispositivo genera quindi una coppia di chiavi univoca per ogni account online. La chiave privata viene archiviata in modo sicuro sul dispositivo; è protetta dall’hardware di sicurezza come il Secure Enclave dei dispositivi Apple o il Trusted Platform Module (TPM) dei PC Windows. La chiave pubblica viene invece registrata presso il servizio online (cloud).

    Per effettuare l’accesso ad un sito con una Passkey, l’utente deve dimostrare il possesso della chiave privata associata alla chiave pubblica registrata sul cloud. Questo processo avviene tramite un’operazione crittografica chiamata “firma digitale“; viene eseguita localmente sul dispositivo dell’utente dopo l’autenticazione biometrica (come l’impronta digitale o il riconoscimento facciale) o l’inserimento di un PIN.

    passkey
    Google supporta le Passkeys

    In altre parole, invece di fare affidamento su una combinazione di nome utente e password, le passkey utilizzano il dispositivo dell’utente per dimostrare che l’utente è il legittimo proprietario dell’account.

    Chrome Passwords di Google e il portachiavi iCloud di Apple sincronizzano le passkey su più dispositivi tramite il cloud. Quando si aggiunge un nuovo dispositivo, basta sincronizzare il dispositivo per utilizzare la passkey.

    Difficile il concetto ? In realtà le Passkey sono più facili da usare che da capire.

    Creazione di una passkey

    La creazione di una Passkey su un sito web avviene attraverso un processo. Ecco una possibile sequenza dei passaggi coinvolti:

    1. L’utente avvia il processo di registrazione o di accesso su un sito web che supporta l’autenticazione tramite Passkey.
    2. Il browser o il sistema operativo dell’utente genera una nuova coppia di chiavi crittografiche; costituita da una chiave pubblica e una chiave privata. La chiave privata viene archiviata in modo sicuro sull’hardware del dispositivo dell’utente,;come un Secure Enclave o un Trusted Platform Module (TPM), e non lascia mai il dispositivo.
    3. Il browser o il sistema operativo dell’utente richiede di fornire un fattore di autenticazione locale; come un PIN, un pattern o una biometria (impronta digitale o riconoscimento facciale) o una comoda Security Key USB🧺, per autorizzare la creazione della nuova Passkey.
    4. Dopo che l’utente ha fornito con successo il fattore di autenticazione locale, il browser o il sistema operativo invia la chiave pubblica appena generata al sito web; insieme a qualsiasi altra informazione richiesta, come un attestato residente o un nome utente.
    5. Il sito web riceve la chiave pubblica e la associa all’account dell’utente. Memorizza la chiave pubblica e qualsiasi altra informazione pertinente nel proprio database per un uso futuro durante l’autenticazione.
    6. Il sito web conferma al browser o al sistema operativo dell’utente che la registrazione della Passkey è stata completata con successo. Il browser o il sistema operativo può quindi memorizzare la Passkey appena creata; nel portachiavi o nel gestore delle credenziali dell’utente per un facile accesso in futuro.

    Test gratuito

    Questa è la teoria. Se vuoi provare una procedura di creazione Passkey puoi usare questo servizio gratuito; puoi testare una registrazione fittizia con Passkey. Il sito non offre nessun servizio eccetto quello di testare la fase di registrazione al sito usando una passkey. Puoi provare dal tuo smartphone o da un computer. Se provi da Windows, dovrai avere impostato un PIN windows; altrimenti ti verrà chiesta una Security Key USB🧺 oppure un riconoscimento facciale.

    passkeys vantaggi

    Vantaggi delle Passkey rispetto alle password tradizionali

    1. Maggiore sicurezza
      Le Passkey offrono diversi vantaggi in termini di sicurezza rispetto alle password tradizionali. Innanzitutto, eliminano il rischio di riutilizzo delle password su più siti web; una pratica comune che può portare al compromesso di più account in caso di violazione dei dati. Ogni Passkey è unica per ogni account online e non può essere riutilizzata altrove.

    Inoltre, le Passkey sono resistenti al phishing. Poiché l’autenticazione avviene localmente sul dispositivo dell’utente e richiede la prova del possesso della chiave privata, le Passkey non possono essere ingannate da siti web fraudolenti che imitano i servizi legittimi.

    Le Passkey sono anche molto più difficili da indovinare o decifrare rispetto alle password. Mentre le password deboli o riutilizzate possono essere facilmente indovinate o decifrate tramite attacchi di forza bruta o di dizionario, le Passkey si basano su chiavi crittografiche lunghe e complesse; generalmente di 256 bit o più, che sono praticamente impossibili da indovinare o decifrare con le tecnologie attuali.

    Migliore esperienza utente

    1. Migliore esperienza utente
      Oltre a migliorare la sicurezza, le Passkey offrono anche una migliore esperienza utente rispetto alle password tradizionali. Gli utenti non devono più ricordare e digitare password complesse per ogni account online. Invece, possono semplicemente autenticarsi utilizzando la biometria o un PIN, rendendo il processo di accesso più rapido e conveniente.

    Le Passkey eliminano anche la necessità di reimpostare le password dimenticate; un processo che può essere frustrante e richiedere del tempo. Se un utente perde l’accesso al proprio dispositivo (distruzione o furto per esempio), può facilmente ripristinare le proprie Passkey su un nuovo dispositivo; utilizzando il proprio account cloud (come Apple iCloud o Google Account), senza dover reimpostare le password per ogni singolo account.

    Integrazione con il cloud

    1. Integrazione con i servizi cloud
      Un altro vantaggio significativo delle Passkey è la loro capacità di integrarsi con i servizi cloud; consentono una facile sincronizzazione e backup delle credenziali tra più dispositivi. Gli utenti possono creare una Pass key su un dispositivo e averla automaticamente disponibile su tutti gli altri dispositivi associati al proprio account cloud.

    Questa integrazione con il cloud semplifica notevolmente la gestione delle credenziali per gli utenti. Al contempo garantisce che le Passkey siano sempre accessibili e recuperabili in caso di smarrimento, furto o guasto del dispositivo. Tuttavia, è importante notare che la sicurezza dell’account cloud diventa un singolo punto di errore in questo scenario; questo rende essenziale per gli utenti proteggere adeguatamente i propri account cloud con l’autenticazione a più fattori.

    1. Adozione da parte dell’industria
      Le Passkey stanno guadagnando popolarità nell’industria tecnologica; con importanti player come Apple, Google, Microsoft e molti altri che supportano gli standard FIDO2 e WebAuthn. Questo ampio supporto accelererà l’adozione delle Passkey da parte di siti web, app e servizi online; rendono la tecnologia più ampiamente disponibile per gli utenti.

    Man mano che sempre più servizi adotteranno le Pass key, si potrà godere di un’esperienza di autenticazione più coerente e senza soluzione di continuità su diverse piattaforme e dispositivi. Inoltre, l’adozione diffusa delle Pass key da parte dell’industria incoraggerà ulteriori innovazioni e miglioramenti nella tecnologia; porterà a soluzioni di autenticazione ancora più sicure e user-friendly in futuro.

    passkeys svantaggi

    Svantaggi e sfide delle Passkey

    Nonostante i numerosi vantaggi, le Passkey presentano anche alcuni svantaggi e sfide che devono essere considerati.

    1. Dipendenza dai dispositivi
      Uno dei principali svantaggi delle Pass key è la loro dipendenza dai dispositivi. Poiché le chiavi private sono archiviate localmente sui dispositivi degli utenti, l’accesso alle Pass key è legato a tali dispositivi. Se si perde il proprio dispositivo o se il dispositivo si guasta, potrebbe non essere in grado di accedere ai propri account online fino a quando non ripristina le proprie Passkey su un nuovo dispositivo.

    Sebbene l’integrazione con i servizi cloud attenui in parte questo problema, consentendo di sincronizzare e ripristinare facilmente le proprie Passkey su più dispositivi, rimane comunque una potenziale barriera per gli utenti che potrebbero non avere accesso immediato a un dispositivo alternativo o a una connessione internet affidabile per il ripristino delle Passkey.

    Curva di apprendimento

    1. Curva di apprendimento
      Un’altra sfida per l’adozione diffusa delle Pass key è la curva di apprendimentoi. Mentre le Pass key mirano a semplificare il processo di autenticazione, il concetto stesso di autenticazione senza password potrebbe risultare nuovo e potenzialmente confuso per alcuni; specialmente per quelli meno esperti di tecnologia.

    Potrebbe essere necessario del tempo per abituarsi all’idea di utilizzare la biometria o i PIN per l’autenticazione; invece di digitare password. Inoltre, potrebbero essere necessarie istruzioni chiare e supporto per guidare gli utenti attraverso il processo di configurazione e gestione delle Passkey; specialmente quando si tratta di scenari più complessi come il ripristino delle Passkey su un nuovo dispositivo.

    1. Compatibilità e adozione sui siti web
      Sebbene le Passkey stiano guadagnando supporto nell’industria tecnologica, l’adozione diffusa da parte di siti web, app e servizi online richiederà tempo. Non tutti i servizi supporteranno immediatamente le Pass key; il che significa che gli utenti dovranno continuare a utilizzare password tradizionali per alcuni dei loro account online.

    Questa compatibilità frammentaria potrebbe causare confusione e frustrazione. Molti potrebbero dover gestire un mix di Pass key e password tradizionali per i loro vari account. I siti web e i servizi dovranno implementare il supporto per gli standard FIDO2 e WebAuthn per consentire l’autenticazione tramite Passkey; un processo che potrebbe richiedere tempo e risorse, specialmente per le organizzazioni più piccole o meno tecnologicamente avanzate.

    Sicurezza degli account cloud

    1. Sicurezza degli account cloud
      L’integrazione delle Pass key con i servizi cloud, pur offrendo notevoli vantaggi in termini di sincronizzazione e recuperabilità, presenta anche potenziali rischi per la sicurezza. Poiché le Passkey sono sincronizzate e archiviate sui server cloud, la sicurezza dell’account cloud di un utente diventa un singolo punto di errore.

    Se un account cloud viene compromesso, ad esempio attraverso un attacco di phishing o una violazione dei dati, un malintenzionato potrebbe potenzialmente accedere a tutte le Passkey sincronizzate con quell’account; compromettendo così la sicurezza di più account online. Pertanto, è fondamentale che gli utenti proteggano adeguatamente i propri account cloud con misure di sicurezza forti; come l’autenticazione a più fattori e password univoche.

    Infine, le chiavi di accesso sono personali e questo pone problemi alle aziende che devono gestire gli accessi ai siti e ai servizi per i dipendenti. Poiché il personale IT aziendale non può accedere alle passkey di un utente e non può controllarne l’utilizzo, potrebbe essere necessaria una tecnologia aggiuntiva prima che alcune aziende adottino questa forma di gestione delle credenziali.

    Casi d’uso

    1. Autenticazione del sito web
      Uno dei principali casi d’uso delle Passkey è l’autenticazione del sito web. I siti web che supportano gli standard FIDO2 e WebAuthn possono consentire agli utenti di accedere ai propri account utilizzando le Passkey; invece delle password tradizionali. Questo non solo migliora la sicurezza, eliminando il rischio di password deboli, riutilizzate o rubate, ma offre anche un’esperienza utente più fluida; consente di autenticarsi con un semplice gesto biometrico o un PIN.
    2. Accesso alle app
      Oltre ai siti web, le Passkey possono essere utilizzate anche per l’autenticazione nelle app mobili e desktop. Le app che implementano il supporto per le Passkey possono offrire agli utenti un modo più sicuro e conveniente per accedere ai propri account, senza dover digitare password o affrontare flussi di accesso complicati. Questo è particolarmente vantaggioso per le app che richiedono un accesso frequente o che gestiscono dati sensibili, come le app bancarie o le app di assistenza sanitaria.
    3. Accesso al dispositivo
      Oltre all’autenticazione online, le Passkey possono potenzialmente essere utilizzate anche per l’accesso al dispositivo. I produttori di dispositivi potrebbero implementare il supporto per le Passkey come metodo di autenticazione per sbloccare smartphone, tablet o computer; un’alternativa più sicura ai passcode o alle password di accesso tradizionali. Questo potrebbe non solo migliorare la sicurezza del dispositivo, ma anche consentire un’esperienza di accesso più uniforme.

    Autenticazione aziendale

    1. Autenticazione aziendale
      Le Pass key hanno anche applicazioni promettenti nell’ambito dell’autenticazione aziendale. Le aziende potrebbero adottare le Passkey come metodo di autenticazione per l’accesso alle risorse e ai servizi aziendali; come e-mail, VPN e applicazioni SaaS. Questo non solo migliorerebbe la sicurezza, riducendo il rischio di compromissione degli account dovuto a password deboli o rubate, ma semplificherebbe anche la gestione delle identità e degli accessi per i team IT, eliminando la necessità di reimpostare frequentemente le password o di far rispettare i requisiti di complessità delle password.

    Conclusione

    Le Pass key rappresentano un progresso significativo nella tecnologia di autenticazione, offrendo un’alternativa più sicura e user-friendly alle password tradizionali. Con i loro numerosi vantaggi, tra cui una maggiore sicurezza e una migliore esperienza utente, le Pass key hanno il potenziale per rivoluzionare il modo in cui accederemo ai nostri account online e ai nostri dispositivi.

    Man mano che sempre più servizi adotteranno questa tecnologia, gli utenti potranno godere di un’esperienza di autenticazione più sicura, senza soluzione di continuità e user-friendly su tutte le loro piattaforme e dispositivi online.

    Mentre le Passkey potrebbero non sostituire completamente le password tradizionali nel prossimo futuro, rappresentano un importante passo avanti nella giusta direzione, offrendo una soluzione promettente alle molte sfide di sicurezza e usabilità che affliggono i metodi di autenticazione tradizionali.

    Le Passkey rappresentano un eccellente miglioramento rispetto ai metodi di autenticazione esistenti e, almeno in futuro, potrebbero liberarci definitivamente dalla necessità di creare e ricordare le password. Esistono alcune limitazioni e le passkey sono ancora agli inizi, ma col tempo ci sono buone probabilità che possano sostituire completamente le password.

    I prezzi di tutti i prodotti presenti in questo articolo sono stati presi al momento della scrittura. Se apprezzi le recensioni e i consigli che trovi sul nostro blog, ti invitiamo a utilizzare i link Amazon o Aliexpress🧺presenti in questa pagina. Così facendo, ci aiuti a guadagnare commissioni per sostenere il nostro lavoro e continuare a offrirti contenuti utili e informativi. Grazie per il tuo sostegno, lo apprezziamo tantissimo!

    Share.
    Avatar photo

    Giornalista e recensore tech per Gomoot. Ho visto l'informatica nascere con il C64 e oggi seguo con lo stesso entusiasmo l'evoluzione verso mini PC e desktop SFF. Fuori dal lavoro, le mie passioni sono: i film, il trekking, la bici e la corsa. Ma non disdegno mai una buona sessione di gaming 🎮 o programmazione – è il mio modo per ricaricarmi !

    Articoli collegati

    Add A Comment
    Leave A Reply