Passkey: la chiave per un futuro senza password ##

Passkey: la chiave per un futuro senza password

Passkey: la chiave per un futuro senza password

Le password sono state per anni la spina nel fianco della sicurezza informatica, con credenziali deboli che rappresentano la principale causa di violazioni di dati e furti di account. Tuttavia, le nuove tecnologie di autenticazione passwordless, come le passkey, si propongono di proteggere le identità online in modo molto più efficace, grazie alla crittografia avanzata.

Cos’è una passkey

Una passkey è una credenziale digitale priva di password che serve a confermare l’identità di un utente online. Al posto delle password testuali, le passkey utilizzano la crittografia asimmetrica per l’autenticazione. Il dispositivo dell’utente crea una passkey specifica per l’utente e la scambia in modo sicuro con il servizio di autenticazione per dimostrare l’identità.

Le passkey rafforzano la sicurezza eliminando:

  • Password deboli, riutilizzate e trapelate, esposte nelle violazioni
  • Rischi di phishing, che inducono gli utenti a inserire password
  • Possibili intercettazioni di password non crittografate inviate sulle reti

Le passkey offrono i vantaggi dell’autenticazione multi-fattore senza bisogno di codici SMS o app di autenticazione che si basano ancora su password vulnerabili come fattore di autenticazione. Con una diffusione più ampia, le passkey potrebbero sostituire gradualmente le password, offrendo un’autenticazione più forte e più veloce basata sulla crittografia avanzata.

Come funzionano le passkey

Le passkey sono costruite secondo gli standard FIDO (Fast Identity Online) e W3C Web Authentication e utilizzano coppie di chiavi pubbliche e private per l’autenticazione:

  1. L’utente registra una passkey per un sito web creando una nuova coppia di chiavi crittografiche asimmetriche e inviando la chiave pubblica al sito.
  2. La chiave privata viene archiviata in modo sicuro sul dispositivo dell’utente.
  3. Al momento dell’accesso, il sito web utilizza la chiave pubblica archiviata per l’utente per sfidare il dispositivo.
  4. Il dispositivo firma la sfida con la chiave privata corrispondente, autenticando in modo sicuro l’identità dell’utente senza richiedere password.

Questo scambio crittografato verifica l’identità degli utenti senza esporre credenziali vulnerabili che potrebbero essere oggetto di phishing o intercettazioni.

Implementazioni iniziali delle passkey

Sebbene gli standard di autenticazione web e dispositivo siano stati stabiliti da tempo, ora le piattaforme e i browser stanno gradualmente supportando le passkey:

  • Apple ha adottato le passkey per iOS 16 e macOS Ventura, utilizzando la sincronizzazione di iCloud Keychain.
  • Google ha abilitato il supporto per le passkey negli dispositivi Android dalla versione 13.
  • Microsoft ha annunciato l’integrazione delle passkey per Windows 11 e il browser Edge.
  • Siti web come PayPal, eBay e altri stanno implementando il supporto per le passkey.

Le capacità delle passkey sono ancora limitate sui sistemi operativi più vecchi. Tuttavia, gli utenti possono iniziare a creare e sincronizzare le passkey negli ecosistemi Apple o Google per un accesso passwordless robusto a siti web supportati. Con il tempo, questo approccio si diffonderà, diventando la modalità predefinita per l’autenticazione su desktop e mobile.

Sicurezza e archiviazione delle passkey

Le passkey offrono una sicurezza molto maggiore rispetto alle tradizionali password e sono difficili da rubare. Le chiavi private vengono archiviate in modo sicuro nei repository di chiavi hardware-backed specifici per la piattaforma:

  • iOS/iPadOS/macOS: le passkey vengono archiviate solo nel chip Secure Enclave con controlli di accesso rigorosi.
  • Android: il subsystem Keystore sfrutta l’ambiente di esecuzione attendibile per l’archiviazione e l’utilizzo della chiave hardware-backed.
  • Windows 11: utilizza il TPM basato su Pluton e la virtualizzazione sicura crittografata per le operazioni con le passkey.

Suggerimenti, soluzioni, consigli e best practice

  1. Mantenere aggiornati i sistemi operativi e i browser: garantisce il supporto più recente per le passkey e la sicurezza generale del sistema.
  2. Attivare l’autenticazione a due fattori: se disponibile, aumenta la sicurezza aggiungendo un ulteriore livello di verifica.
  3. Educare gli utenti: informare gli utenti sui vantaggi delle passkey e su come utilizzarle in modo sicuro può contribuire a ridurre il rischio di phishing e altre minacce.
  4. Monitorare l’adozione delle passkey: tenere traccia dell’adozione delle passkey e del loro impatto sulla sicurezza può aiutare a identificare eventuali problemi e a prendere decisioni informate sulla loro implementazione.
  5. Garantire la compatibilità: verificare che i sistemi e i servizi siano compatibili con le passkey e che le implementazioni siano conformi agli standard FIDO e W3C.

Le passkey rappresentano un passo importante verso un futuro senza password, offrendo una maggiore sicurezza e una migliore esperienza utente. Adottando le passkey, gli utenti e le organizzazioni possono proteggere meglio le proprie identità online e contrastare le minacce informatiche.

Fonte: https://securityboulevard.com/2024/06/passkeys-the-future-of-passwordless-authentication/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto