Passkey: cosa sono e come funzionano nel 2022
Che cosa sono le passkey?
Se ti sei iscritto a numerosi siti web, è molto probabile che tu debba tenere a mente una quantità considerevole di password. Sebbene i gestori di password semplifichino questo compito, non sarebbe ideale non doversi preoccupare affatto di ricordarle? Questo è proprio l’obiettivo delle “passkey”, una nuova tecnologia appena presentata. Ma cosa sono esattamente le passkey e come si usano? Scopriamolo insieme.
Le passkey rappresentano un nuovo standard, basato sull’API di autenticazione Web (WebAuthn), che sfrutta la crittografia a chiave pubblica per consentire l’autenticazione su applicazioni e siti web. Una passkey permette al tuo dispositivo di conservare le informazioni della chiave privata e di utilizzarla per generare firme che consentono l’accesso a un server web, garantendo un’esperienza di accesso sicura e senza l’uso di password.
Invece di affidarsi a password o codici di autenticazione a due fattori, le passkey sfruttano al massimo tecnologie come Face ID o Touch ID per convalidare la tua identità e consentirti di effettuare l’accesso. Le passkey (una volta completamente implementate) segneranno la fine delle password. Questo vuol dire che non sarà più necessario creare password, perdere tempo prezioso a gestire i tuoi codici segreti e imprecare per aver dimenticato le password.
Come operano le passkey?
Prima di analizzare il funzionamento delle passkey, cerchiamo di capire brevemente come funzionano le password, per distinguere i due sistemi di autenticazione.
Le password vengono inviate attraverso la rete e trasformate tramite una funzione hash. L’hash viene successivamente memorizzato nel database. Al momento dell’accesso, l’hash viene confrontato con l’hash disponibile sul server. Affinché l’accesso all’account sia consentito, i due hash devono coincidere. Per una maggiore sicurezza, le password richiedono la conferma della tua identità attraverso l’autenticazione a due fattori (2 passaggi).
Immagine per gentile concessione: Apple
Le passkey generano una coppia unica di chiavi correlate: una chiave pubblica e una chiave privata. Mentre la chiave pubblica viene archiviata su un server web, la chiave privata viene conservata sul tuo dispositivo.
La chiave pubblica, essendo sostanzialmente un nome utente, non richiede particolari attenzioni in termini di sicurezza poiché non può essere utilizzata come una copia della password memorizzata su un server. Per questo motivo non viene mantenuta segreta.
La chiave privata, al contrario, è custodita sul tuo dispositivo e non viene mai condivisa. Inoltre, la tua chiave privata è protetta nel portachiavi iCloud e rimane bloccata per prevenire attacchi di tracciamento e phishing. Né tu, né il server venite a conoscenza della chiave privata, il che la rende inviolabile.
Quando accedi al tuo account, la tua passkey crea una firma e la invia al server per convalidare la tua identità. Il server, servendosi della chiave pubblica già in suo possesso, convalida la tua firma e ti consente l’accesso al tuo account. Questo sistema non solo elimina la necessità dell’autenticazione a due fattori tramite codici, ma garantisce anche che la tua chiave privata non lasci mai il tuo dispositivo. Questo è ciò che rende le passkey un’alternativa preferibile alle password.
Perché le passkey offrono maggiore sicurezza?
Le passkey si avvalgono del Bluetooth per operare in modo sicuro, a differenza dell’autenticazione a due fattori che utilizza la rete Wi-Fi. Grazie all’accesso Bluetooth, le passkey sono in grado di stabilire una stretta prossimità fisica e di verificare che sia effettivamente l’utente a tentare di accedere all’account.
Dato che le passkey sono sempre bloccate e non lasciano mai il tuo dispositivo, gli hacker avrebbero bisogno di accedere fisicamente al tuo dispositivo e convalidare la tua identità usando Face ID/Touch ID per poterlo sbloccare e accedere al tuo account. Una vera sfida, non trovi? A ciò si aggiunge il fatto che nemmeno tu conoscerai la tua passkey. Per finire, le passkey sono protette anche da una crittografia end-to-end molto affidabile per ridurre ulteriormente ogni possibile attività illecita.
Invece, le password sono memorizzate su un server e dipendono fortemente dai codici di autenticazione a due fattori per un accesso sicuro. In un’epoca in cui le clamorose violazioni di siti web sono all’ordine del giorno e i codici di verifica sono costantemente sotto minaccia, è arrivato il momento di dire addio sia alle password che all’autenticazione a due fattori.
Come creare una passkey su iPhone
Creare una passkey su iPhone è estremamente semplice. Di norma, i siti web che supportano le passkey mostrano automaticamente un avviso che ti chiede se desideri salvare una passkey per l’accesso. Ecco la procedura per creare una passkey sul tuo iPhone:
- Quando ti registri su un sito web che ha implementato il supporto per le passkey, apparirà un popup con un testo simile a: “Vuoi salvare una passkey per
? Le passkey vengono salvate nel tuo portachiavi iCloud e sono disponibili per l’accesso su tutti i tuoi dispositivi”.
- Tocca “Continua” ed esegui l’autenticazione utilizzando Face ID/Touch ID per memorizzare la passkey sul portachiavi.
Dato che le passkey funzionano in sincronia con il portachiavi iCloud, assicurati di aver abilitato il gestore di password integrato.
- Vai all’app Impostazioni sul tuo iPhone. Successivamente, tocca il tuo profilo e scegli iCloud.
- Ora tocca Password e portachiavi, quindi verifica che l’interruttore per la sincronizzazione con questo iPhone/iPad sia attivo.
Come creare una passkey su Mac
Configurare una passkey su Mac è altrettanto semplice.
- Apri il sito web/app in cui vuoi utilizzare la passkey e registra il tuo account come di consueto.
- Apparirà un avviso che ti chiede se vuoi salvare una passkey. Clicca su Continua con Touch ID e autenticati. Se il tuo Mac non supporta il Touch ID o se non lo utilizzi, dovrai autenticarti con la tua password di amministratore. Fatto questo, la tua passkey sarà pronta per l’uso su quel sito.
Come utilizzare le passkey su iPhone
Una volta create le tue passkey, puoi usarle con facilità.
- Apri l’app o il sito dove desideri effettuare l’accesso e premi il pulsante di accesso.
- Verrà visualizzato un popup dal basso con il testo: “Vuoi accedere a ‘Nome sito/app’ con la passkey salvata per ‘Nome utente’?”. Tocca Continua. Autenticati con Face ID/Touch ID e il gioco è fatto!
Come utilizzare le passkey su Mac
- Vai all’app/sito in cui vuoi usare una passkey e clicca su “Accedi”.
- Ora ti verrà chiesto di accedere usando la tua passkey. Se hai configurato il Touch ID sul tuo Mac, usalo per autenticare il tuo account.
- Se il tuo Mac non supporta il Touch ID o se non lo usi, clicca su Altre opzioni di accesso.
- Ora seleziona l’opzione “Usa passkey da un dispositivo con fotocamera”.
- Ti verrà chiesto di scansionare il codice QR usando il tuo iPhone/iPad.
- Una volta scansionato il codice, appariranno le opzioni per tutte le passkey salvate nel tuo portachiavi iCloud per quel sito web. Seleziona quella desiderata e tocca “Continua”.
- Autenticati utilizzando Face ID/Touch ID e il gioco è fatto. Sarai connesso al tuo account sul sito web.
Come funzionano le passkey su dispositivi Android e Windows?
La FIDO Alliance ha annunciato di recente che Apple, Google e Microsoft si sono impegnate a supportare il nuovo sistema di autenticazione senza password chiamato “FIDO Standard”. Grazie alle passkey, Apple ha già dato il via libera all’accesso senza password. Dal momento che lo standard FIDO è in fase di implementazione anche su dispositivi Android (come annunciato recentemente al Google I/O 2022) e Windows, sarà possibile utilizzare le passkey anche su dispositivi non Apple.
Immagine per gentile concessione: Apple
Tornando alla questione del funzionamento delle passkey sui dispositivi Android e Windows e, soprattutto, se offrono lo stesso livello di sicurezza su altre piattaforme. Quando provi ad accedere al tuo account da altri dispositivi, ti viene chiesto di scansionare un codice QR tramite il tuo iPhone o iPad. Successivamente, le passkey ti chiedono di autenticare la tua identità usando Face ID/Touch ID per confermare che sei tu a tentare di accedere all’account. In sostanza, l’utilizzo delle passkey su Windows o Android è praticamente lo stesso che su Mac senza Touch ID.
Vantaggi e svantaggi delle passkey
Pro | Contro |
---|---|
Accesso semplificato | Funziona unicamente con i sistemi operativi più recenti come iOS 16, iPadOS 16 e macOS 13 |
La tua passkey non esce mai dal tuo dispositivo | Richiede l’accesso fisico al tuo dispositivo durante l’accesso |
Né tu né altri potete conoscere la vostra passkey | Meno utile per chi ha un alto livello di rischio di essere target di attacchi |
Elimina completamente la necessità di autenticazione a due fattori tramite codici | Durante l’accesso è necessaria la vicinanza fisica |
È necessario autenticarsi utilizzando Face ID/Touch ID | |
Funziona su tutti i dispositivi | |
Si sincronizza tra i dispositivi Apple tramite il portachiavi iCloud | |
Può essere condivisa con AirDrop | |
Rimane schermata grazie alla crittografia end-to-end | |
Protezione completa contro attacchi di phishing e tracciamento |
Domande frequenti sulle passkey
È possibile utilizzare le passkey su iOS 15 e macOS 12?
Sì, ma in modo molto limitato. Sebbene macOS 12 e iOS 15 siano compatibili anche con lo standard FIDO, il metodo precedente richiede prima l’accesso a ogni app e sito web su ogni tuo dispositivo prima di offrire un’esperienza di accesso senza password, il che in pratica non è così semplice.
Come avviene la sincronizzazione delle passkey con altri dispositivi?
Le passkey si sincronizzano tra i dispositivi Apple associati allo stesso account tramite il portachiavi iCloud. Pertanto, se accedi ai tuoi dispositivi con lo stesso account iCloud, tutte le tue passkey saranno disponibili ovunque tu sia.
Come si condividono le passkey con altri utenti?
Puoi condividere le tue passkey come condividi le tue password con AirDrop. Dato che le passkey vengono memorizzate anche nel portachiavi iCloud, puoi facilmente tenerle sotto controllo e condividerle senza problemi. Vai alla passkey che desideri condividere (all’interno delle voci del portachiavi), premi il pulsante di condivisione, seleziona il dispositivo nelle vicinanze e il gioco è fatto.
Cosa succede se non riesci a convalidare la tua passkey tramite Face ID/Touch ID?
Qualora tu non avessi accesso fisico al tuo dispositivo o non potessi autenticare la tua passkey tramite Face ID/Touch ID, puoi verificare la tua identità servendoti di altre opzioni di accesso come la password.
Anche i gestori di password diventeranno obsoleti?
Ora che le password sembrano destinate a scomparire, anche i gestori di password diventeranno inutili? Per restare al passo con i tempi, i principali gestori di password hanno già annunciato il supporto per lo standard FIDO. Quindi, puoi aspettarti che ti consentano di gestire e utilizzare tutte le tue passkey in modo più agevole. Sarebbe interessante vedere come si adatteranno a questo nuovo ruolo e se manterranno o meno la loro rilevanza attuale.
Quando sarà completata l’implementazione delle passkey?
Ora che Apple ha messo a disposizione degli sviluppatori l’API di autenticazione Web, spetta a loro rendere le proprie app e siti web compatibili con il sistema di accesso senza password. Come ogni nuova tecnologia, ci vorrà del tempo affinché venga implementata su vasta scala. Si spera che l’implementazione delle passkey sia molto più rapida rispetto a quella della Dark Mode (introdotta in iOS 13), che ancora non è supportata su tutti i siti web.
Accedi in modo più veloce e sicuro con le passkey
La gestione delle password è un problema, e le passkey potrebbero rappresentare la soluzione. Dato che le passkey funzioneranno su tutti i dispositivi Apple, oltre che su quelli Windows e Android, è molto probabile che potremo liberarci delle fastidiose password una volta per tutte. Google dovrebbe implementare il supporto per le passkey entro quest’anno e, dato che le passkey sono basate sull’autenticazione FIDO, dovrebbero diventare praticamente uno standard sul web e sui tuoi dispositivi. E tu, cosa ne pensi del futuro senza password? Dacci la tua opinione nei commenti.