Addio alle password: cosa sono le passkey?
La FIDO Alliance ha sviluppato la cosiddetta tecnologia «passkey» insieme a Google. L'obiettivo è quello di abolire le password e rendere i login più comodi, ma anche più sicuri. Come funziona esattamente?
L'argomento «passkey» è attualmente sulla bocca di tutti. Questa tecnologia è stata sviluppata dalla FIDO Alliance, di cui fanno parte molti «big» del settore tecnologico – tra questi Google, Microsoft, Apple e Amazon. FIDO è un'abbreviazione che significa «Fast Identity Online». L'idea alla base delle passkey è quella di poter accedere a tutti i propri account online senza dover accedere ogni volta con un nome utente e una password. Per non parlare della noiosa autenticazione a due fattori (2FA).
È invece possibile autenticarsi sul proprio smartphone o notebook, anche tramite riconoscimento facciale o impronta digitale. In seguito, l'accesso verrà effettuato automaticamente. In teoria, non è più necessaria alcuna password. È quindi più veloce e più comodo che usare una password e la 2FA. Inoltre, è anche più sicuro. In che senso?
Cosa sono le passkey e come funzionano?
In linea di principio, il nome dice già cosa sono, ossia dei passepartout. Vale a dire, delle chiavi per entrare o passare da qualche parte (inglese: to pass = passare, key = chiave). Per essere più precisi: una coppia di chiavi. Una metà consiste in una chiave pubblica che viene memorizzata sul server web del sito o del servizio, l'altra metà in una chiave crittografica privata, asimmetrica. In poche parole, si può pensare a una lunghissima sequenza di caratteri generata in modo completamente casuale. La chiave privata viene quindi memorizzata su un dispositivo di propria scelta. Ad esempio, sullo smartphone o sul computer portatile. Nessuno scoprirà mai come è composta esattamente. Nemmeno se accedi da qualche parte con essa.
Perché, a differenza della richiesta di password, non sei tu a inviare la tua password dove vuoi accedere. Ma funziona al contrario: è il servizio online, ad esempio l'account Google, a inviare una richiesta al dispositivo su cui è memorizzata la chiave privata (la cosiddetta «challenge»). L'autenticatore sul dispositivo risolve poi questa challenge.
Una volta che l'autenticatore ha eseguito questa operazione, rinvia la challenge superata al servizio online. Quest'ultimo a questo punto decide per mezzo della chiave pubblica: «La challenge è stata superata correttamente, quindi il destinatario aveva la chiave corretta. Accesso consentito». In questo modo, hai virtualmente dimostrato di essere la persona che dichiari di essere e di possedere la chiave, senza però rivelare l'esatta composizione della tua chiave privata.
È possibile definire esattamente quale sia l'autenticatore sul dispositivo. Ad esempio, una password master, un PIN, un motivo sul touchpad dello smartphone oppure semplicemente l'impronta digitale o il riconoscimento facciale, a seconda del supporto del dispositivo su cui è memorizzata la chiave.
La base per le passkey: FIDO2
Le passkey sono un'estensione di FIDO2. Forse ne hai sentito parlare. FIDO2 è stato sviluppato anche da FIDO Alliance e dal World Wide Web Consortium (W3C). È composto da due «ingredienti»:
- il «Client to Authenticatior Protocol» (CTAP2)
- la «WebAuthentication standard API» (WebAuthn)
In parole povere, CTAP2 garantisce che l'autenticatore hardware – ad esempio un token di sicurezza come Yubikey – e il browser possano comunicare in modo sicuro tra loro. CTAP2 supporta USB, Bluetooth e NFC. Questo limita la chiave privata a un solo dispositivo. Ma ci arriverò tra un minuto.
WebAuthn, invece, è un'interfaccia responsabile della comunicazione tra un autenticatore e il servizio online a cui si vuole accedere. Se un servizio online supporta Webauthn, è possibile effettuare il login utilizzando il principio della chiave spiegato sopra.
Fonte: FIDO Alliance
In origine, FIDO Alliance voleva mandare in pensione la password classica con FIDO2. Tuttavia, c'era il problema che con FIDO2 la chiave privata era saldamente legata a un solo dispositivo specifico. Tuttavia, il principio non era molto conveniente per gli utenti: se si dispone di diversi dispositivi da utilizzare come autenticatori, ad esempio, uno smartphone privato e uno aziendale, è necessario collegare ogni dispositivo separatamente a ogni singolo servizio. Ogni dispositivo riceve la propria chiave privata. Se hai collegato solo un dispositivo che non hai con te, non c'è modo di accedere. Il sistema classico di password era più comodo. Per questo motivo la FIDO Alliance ha sviluppato ulteriormente lo standard in passkey. Il principio non è cambiato. L'unica differenza è che con le passkey la chiave privata può essere sincronizzata tra più dispositivi.
Un esempio pratico: Apple
Apple, ad esempio, ha implementato le passkey nel proprio «portachiavi» (da macOS Ventura e iOS/iPadOS 16). Se hai attivato il login tramite passkey per un servizio, ad esempio il tuo account Google, il login funzionerà sul tuo Mac, sul tuo iPhone o sul tuo iPad, a condizione che utilizzi lo stesso ID Apple per tutti i dispositivi Apple. Quindi, non appena avvii il Mac con la password, la chiave privata è attiva.
Fonte: Florian Bodoky
Sull'iPhone, anche il riconoscimento facciale può fare da autenticatore: una volta sbloccato l'iPhone, è possibile accedere a Google senza password nel browser dello smartphone. Gli smartphone, sia Android (da Android 9) che iOS, offrono anche una funzione aggiuntiva.
Fonte: Florian Bodoky
È possibile utilizzarlo come dispositivo di autenticazione per accedere a un dispositivo sconosciuto. Ad esempio, se sei a casa di un amico e vuoi accedere al tuo account Google sul tuo PC, puoi farlo tramite l'autenticatore sul telefono (perché la chiave privata è memorizzata lì).
Fonte: Kolide
I produttori spiegano passo dopo passo come attivare le passkey per i servizi o i dispositivi. Qui trovi le istruzioni di Apple, Google e Microsoft. Tuttavia, con una rapida ricerca su Google è possibile trovare le istruzioni anche per altri provider.
Quali sono le differenze rispetto alle password?
I codici di accesso e le password hanno un approccio completamente diverso. Mentre le passkey funzionano come descritto sopra, le password sono memorizzate nei database dei rispettivi servizi, anche se criptate. Se si inserisce la password insieme al nome utente, il servizio online confronta questi dati. Se sono identici, si ottiene l'accesso.
Fonte: DigiCert
I punti deboli di questo sistema sono evidenti. Non c'è bisogno di dimostrare che sei davvero tu. Chiunque conosca la password e il nome utente può accedere al tuo account. Questo può accadere molto rapidamente: le tue password possono cadere nelle mani sbagliate attraverso il phishing, le telefonate truffa o addirittura l'hacking del servizio online. I criminali informatici non lasciano nulla di intentato. Le e-mail false in una grammatica discutibile sono un ricordo del passato: le e-mail di phishing stanno migliorando sempre di più e ti reindirizzano persino a siti web esattamente replicati di istituzioni governative o aziende svizzere. Secondo Microsoft, nel mondo si verificano 579 attacchi di password al secondo, pari a 18 miliardi all'anno.
Fonte: NCSC
Inoltre, non è così raro come si pensa che i tuoi dati finiscano sul web senza il tuo intervento. Ad esempio, l'anno scorso Trend Micro ha pubblicato uno studio sugli attacchi informatici alle aziende, secondo il quale l'88 percento delle aziende intervistate è stato vittima di questi attacchi che hanno portato alla perdita o al furto dei dati della clientela.
Poiché la chiave privata non viene mai trasmessa con le passkey, non può essere intercettata o rubata dal servizio online.
Inoltre, le password sono molto più complicate da gestire: dovresti usare password diverse per tutti i servizi, altrimenti i criminali informatici possono violare diversi account se hanno rubato una sola password. Le password non devono essere troppo semplici: con password come «Test1234», la ricerca esaustiva è sufficiente per decifrarle. Ti servirebbe un gestore di password per poterti ricordare tutte le password.
Oppure puoi attivare la procedura di autenticazione a due fattori dove confermi di essere davvero tu con un'app di autenticazione o un codice SMS. Si tratta di un'operazione piuttosto macchinosa e talvolta soggetta a errori. Ad esempio, se si inserisce il codice 2FA in modo errato, è necessario ripetere la procedura. Le passkey non risolvono solo il problema della mancanza di sicurezza, ma semplificano e velocizzano anche le procedure di registrazione per i servizi online.
Quali servizi supportano le passkey?
Le aziende più note che supportano la tecnologia passkey sono Google, Microsoft e Apple. Ma ce ne sono molte altre. Probabilmente, mentre scrivo questo articolo, ne stanno arrivando altre ancora. Sul web c'è la Passkeys Directory che posso consigliarti. Si tratta di un registro pubblico in cui sono elencati i servizi che già supportano le passkey. Puoi anche votare il tuo servizio preferito se non supporta ancora le passkey in modo che sappia: «Ehi, ci sono persone che vogliono che integriamo le passkey». Chissà! Forse anche digitec e Galaxus.
Immagine di copertina: Shu
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.
