Passkey, verso l'era passwordless: cos'è e come funziona

Passkey costituisce un sistema di autenticazione avanzato per accedere a tutti i propri account mediante l'utilizzo di codici e metodi di identificazione biometrici. Tale sistema elude la necessità di memorizzare password lunghe e complesse, semplificando così il processo di convalida delle credenziali e consentendo un accesso agevolato e con elevati standard di sicurezza, a servizi digitali e app.

Passkey consente di dare l’addio all'uso delle password, agevolando la transizione all'era passwordless.

Fondato sulla tecnologia WebAuthn, standard aperto sostenuto congiuntamente dalla FIDO Alliance e dal W3C, il processo di creazione di una passkey contempla la generazione di una coppia di chiavi crittografiche (crittografia asimmetrica o a chiave pubblica). Una di queste chiavi viene conservata presso il sito web o il servizio di destinazione del proprio account mentre l’altra, la chiave privata, è archiviata sul dispositivo utilizzato per la verifica dell'identità dell'utente. I sistemi di autenticazione biometrici del proprio device autorizzano l'uso della passkey ed eseguono l'autenticazione dell'utente nell'app o nel sito web. Quindi, per ottenere l'accesso al profilo di uno determinato servizio è sufficiente confermare l'identità attraverso l'uso dell'impronta digitale, il riconoscimento facciale, la scansione di un codice temporaneo o l'inserimento di un PIN dedicato. Al contrario delle password, le passkey non si possono scordare perché non si devono mai memorizzare.

Per utilizzare Passkey su uno smartphone e accedere a un altro PC, il tuo dispositivo dovrà avere le seguenti funzionalità abilitate: blocco schermo e Bluetooth.

L'impiego di Passkey al posto delle tradizionali password testuali presenta diversi e significativi vantaggi in termini di sicurezza.

• Niente phishing.
  L'utilizzo delle passkey limita il phishing principalmente perché il sistema non si basa sulla memorizzazione o l'inserimento di password testuali tradizionali. In un tipico attacco di phishing (es. su home banking, social media, servizi di archiviazione Cloud o e-commerce), i cybercriminali cercano di ottenere le credenziali degli utenti convincendoli a inserirle su un sito web contraffatto che imita un servizio legittimo; in questo caso senza la chiave privata, l'accesso non è possibile, rendendo l'attacco di phishing inefficace. Inoltre Passkey evita diverse problematiche legate a un cattivo uso delle password da parte degli utenti che spesso creano chiavi di accesso deboli, poco sicure e semplici da scoprire.

• Maggiore protezione contro gli attacchi informatici.
  Le passkey si basano su chiavi crittografiche asimmetriche, che sono estremamente difficili da violare o decifrare. Inoltre, il fatto che la chiave privata non sia mai archiviata su reti web impedisce efficacemente qualsiasi possibile compromissione dei dati.

• Nessuna violazione di dati.
  Anche in caso di compromissione del database delle credenziali di accesso di un determinato sito web, l'assenza della chiave privata dell'utente rende inutilizzabili i dati ottenuti, preservando così l'integrità delle informazioni personali.

• Semplicità d'uso.
  Il sistema di autenticazione mediante passkey agevola l'accesso in maniera pratica e veloce, eliminando la necessità di memorizzare o inserire password complesse. L'autenticazione avviene agevolmente attraverso il sistema biometrico del dispositivo, semplificando notevolmente l'esperienza dell'utente. Le passkey offrono il vantaggio di essere interoperabili con i principali browser e sistemi operativi ampiamente riconosciuti.

Questo nuovo tipo di credenziali di accesso è supportato da sempre più siti web, app e principali piattaforme come Apple, Google, Microsoft, Amazon e PayPal. Ci sono anche plugin per CMS come Wordpress.

Passkey è una tecnologia nuova e non sappiamo se nel futuro resterà immune da potenziali vulnerabilità. Molto probabilmente cambieranno gli attacchi dei cybercriminali (orientati più ai dispositivi che agli utenti in sé) e il profilarsi di malware in grado di mettere in pericolo la sicurezza dei dispositivi. Per ora è importante adottare solo alcune precauzioni come ad esempio quella di non creare passkey su dispositivi condivisi o non sotto il proprio diretto controllo, in quanto chiunque abbia accesso al dispositivo potrebbe facilmente autenticarsi al nostro account Google. Inoltre in caso di furto o smarrimento dello smartphone con tutte le chiavi archiviate al suo interno, è fondamentale revocare immediatamente i permessi e cancellare le Passkey da remoto, attraverso le impostazioni.