Le password sono il modo attraverso il quale cerchiamo di impedire l’accesso e l’utilizzo ai nostri dati e risorse informatiche a soggetti non autorizzati. In molti casi però risultano deboli e facilmente individuabili. Questo è dato dal fatto che esistono numerosissimi account che richiedono l’utilizzo di una password così gli utenti preferiscono utilizzare codici alfanumerici facili da ricordare e, spesso, ricadono sulla scelta di utilizzare la stessa combinazione per diversi account, uno dei comportamenti più sconsigliati quando si parla di sicurezza informatica.
Una soluzione che ci permette di ricordare tutte le password dei nostri account, inserendole per noi quando necessario, è l’archiviazione online. Questo però non ci protegge da possibili fughe: se il servizio di password manager (come ad esempio icloud keychain) al quale ci affidiamo viene violato lo saranno anche le password di tutti gli utenti che ne fanno uso.
Molto più efficace risulta essere l’identificazione a due fattori nel quale si inserisce una password e poi un codice otp (one-time password, una password che potremmo definire usa e getta) inviata per sms o mail. Il problema di questo tipo di identificazione è la scomodità della procedura, che viene resa molto più macchinosa, e il persistere del rischio di esposizione ad attacchi di tipo phishing (truffe attraverso le quali un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale).
Le passkey
Negli ultimi anni alcune ricerche in campo informatico si sono concentrate nel trovare un’alternativa valida all’utilizzo delle password, lavorando alla progettazione di nuovi sistemi di accesso, autenticazione o gestione delle password.
Il 5 maggio 2022, in concomitanza con la giornata mondiale delle password – iniziativa avviata dall’azienda intel nel 2013 per promuovere maggiore consapevolezza sul tema della sicurezza informatica – Apple, insieme a Google e Microsoft, hanno annunciato l’impegno ad accelerare il lavoro per implementare e rendere disponibile sui dispositivi uno standard di autenticazione senza password chiamato FIDO. Ad un anno da questo annuncio vediamo questo sistema farsi spazio.
Il nome deriva da Fast Identity Online Alliance, l’associazione internazionale di aziende che hanno lavorato allo sviluppo dello standard nel corso degli ultimi anni e che ha introdotto un protocollo di autenticazione in grado di sostituire le password come forma di identificazione dominante su internet, chiamato passkey.
Le passkey sono composte da una coppia di chiavi, una pubblica, registrata nel sito web o nell’app alla quale vogliamo accedere e condivisa tra i dispositivi che dispongono delle proprie chiavi private, e una privata, presente soltanto sul nostro dispositivo.
La chiave pubblica non ha nessun valore senza quella privata e non è accessibile a nessuno, neanche all’utente, che quindi non può condividerla.
Questo garantisce che seppure in caso di compromissione del server chi lo attacca non avrà a disposizione entrambe le chiavi per ottenere l’accesso agli account.
In un certo senso non si allontana molto dal metodo di identificazione a due fattori nominato poco fa.
Con il sistema delle passkey, quando accediamo a un servizio online, non sarà quindi più necessario digitare il nome utente e la password, ad autorizzare l’accesso ai diversi account saranno i meccanismi di sblocco presenti sui dispositivi di proprietà dell’utente, in particolare dello smartphone, basati per lo più sul riconoscimento biometrico di caratteristiche individuali come l’impronta digitale, la fisionomia del volto o il pin, trasformando lo stesso smatphone in dispositivo di autenticazione.
Il servizio comunque non è limitato al dispositivo, si possono utilizzare le passkey anche su pc e tablet, e apparecchi terzi grazie ai codici QR da scansionare con il nostro smartphone.
Tra le caratteristiche delle passkey possiamo evidenziare:
- Una protezione efficace;
- Non devono essere create, salvate o ricordate. Il salvataggio avviene automaticamente sul portachiavi icloud per i dispositivi apple (e automaticamente disponibili su tutti i dispositivi che hanno l’accesso con lo stesso idapple) e su google password manager per android e chrome;
- Sono protette dalla crittografia end-to-end;
Iniziare ad utilizzare le passkey
Per iniziare ad utilizzare questo nuovo sistema di accesso dobbiamo assicurarci che il sito web o l’app abbia già implementato le passkey come modalità di accesso alternativa alla password.
Alcuni siti ci permetteranno in automatico l’accesso tramite le passkey, per altri dovremmo abilitare il sistema tramite le impostazioni.
Una volta abilitata una passkey questa sarà visualizzata nella compilazione automatica quando accederemo a quell’app o sito.