Potrebbe essere questa la fine dell’applauso per le nostre password? qualche mese fa, Apple, Google, Microsoft e altri giganti del web stanno cercando di reinventare l’autenticazione sul web Utilizzando un nuovo metodo: passkey (o chiavi di accesso in un buon francese). Il loro scopo è aiutarci a sbarazzarci delle password e della loro terribile reputazione di sicurezza.
L’autenticazione tramite una classica combinazione nome utente + password presenta molti rischi. Gli utenti di Internet tendono spesso a riutilizzare lo stesso sesamo in diverse località, e come è stato dimostrato anno dopo anno classifica delle peggiori passwordRaramente è molto sicuro. Di conseguenza, alla minima perdita di dati, dozzine di account diventano vulnerabili all’hacking. Molti manager dovrebbero rafforzare la sicurezza, ma ora le grandi società web vogliono andare avanti con le passkey.
Cosa sono le chiavi di accesso?
In poche parole, le passkey sono chiavi di crittografia memorizzate sul tuo dispositivo (computer, telefono, tablet) che ti consentono di identificarti su un sito. Questi file sono chiaramente crittografati e possono essere utilizzati solo dopo aver convalidato l’identità dell’utente.
Quando ti registri su un sito che offre l’autenticazione tramite passkey, vengono generate due chiavi: una chiave pubblica, che rimane sui server del sito in questione, e una privata memorizzata sul tuo dispositivo. Quando ti riconnetti, il sito menzionato porrà una sorta di “problema” di crittografia sul tuo dispositivo, che può essere risolto solo grazie alla sua chiave privata. Per assicurarti di essere davanti allo schermo, il tuo dispositivo ti chiederà di identificarti tramite un PIN, l’impronta digitale o il riconoscimento facciale.
Questa è l’intelligenza dell’intero sistema. Invece di dover ricordare una password lunga e complicata, basterà lo stesso metodo che usi per sbloccare il telefono ogni giorno per identificarti. Il sistema operativo risolverà quindi il “problema” e garantirà l’identificazione. Quindi la password scompare a favore di un’identificazione semplificata (gestita dal sistema operativo da allora) e sicura (protetta da crittografia da allora). Ciò rende l’hacking più complicato, poiché è necessario avere accesso al rispettivo dispositivo e metodo di verifica dell’identità. Anche il phishing tramite la creazione di siti Web fasulli è diventato quasi impossibile perché ogni chiave è associata a un URL specifico.
Si noti che nel caso dell’identificazione biometrica, è chiaro che l’impronta digitale (o la faccia) stessa non viene mai inviata all’host del sito. Il server vede solo la convalida del sistema operativo.
Da dove viene questo?
Le chiavi di accesso sono sviluppate dall’Associazione Fido, responsabile della standardizzazione dei protocolli di identificazione. Dietro il termine di marketing utilizzato da Apple, Google e altri, si nasconde in realtà l’interfaccia di programmazione WebAuthn, che consente di stabilire un collegamento tra l’autenticazione gestita dal sistema operativo e il sito a cui ci si collega.
Funziona su tutti i dispositivi?
I lettori più attenti noteranno che per impostazione predefinita le chiavi di accesso sono archiviate localmente sul dispositivo. Sfortunato nel momento in cui ti connetti così spesso dal tuo smartphone, tablet o computer. Fortunatamente, i promotori di sistema hanno pensato a questo scenario.
Le chiavi di accesso possono già essere sincronizzate tra dispositivi nello stesso ecosistema. In Apple, possono essere archiviati nel portachiavi iCloud, ad esempio, che consente loro di essere automaticamente disponibili sul tuo iPhone, iPad e/o Mac. Google sta attualmente implementando lo stesso con il suo gestore di password, disponibile su Chrome e Android. Se provi a connetterti da un dispositivo che non ha accesso ai tuoi account, non preoccuparti: il sito ti permetterà di connetterti tramite il tuo telefono inviandogli una notifica o facendogli scansionare un codice QR.
Sfortunatamente, non ci sono ancora modi per sincronizzare il tuo portachiavi da un ecosistema all’altro. Per passare da un iPhone ad un terminale Android, ad esempio, devi utilizzare il tuo vecchio dispositivo per convalidare una ad una le connessioni avviate dal nuovo dispositivo.
Molti sistemi operativi supportano già le passkey. iOS 16 e macOS 13 ti consentono di creare e sincronizzare un portachiavi. Google ha iniziato a implementare la funzione su Android e dovrebbe renderla disponibile su tutti i dispositivi con la versione 9.0 (o successiva) del sistema operativo a novembre. Su Windows, le passkey sono disponibili con Google Chrome e Microsoft Edge. D’altra parte, le piattaforme che offrono l’identificazione tramite passkey non sono innumerevoli. Su Reddit, troviamo Elenchi di siti che utilizzano questo nuovo protocolloma probabilmente ci vorranno alcuni mesi (o addirittura anni) prima che il metodo si diffonda.
Se hai un dispositivo compatibile e stai navigando su un sito che lo offre, usare le passkey non potrebbe essere più semplice.
Vai al sito a questo (quella nvidia, ad esempio) e quando crei il tuo account, non inserire una password e scegli l’opzione per connetterti a un dispositivo di sicurezza. Si aprirà quindi un popup che ti chiederà se desideri salvare una chiave di autenticazione (iOS) o una chiave di accesso (Android) per l’ID appena inserito. Il tuo account viene creato con un ID viso rapido o una scansione delle impronte digitali in un secondo momento. Quando vuoi riconnetterti, tutto ciò che devi fare è scegliere la stessa opzione, quindi convalidare l’autenticazione tramite il metodo scelto.
Se hai già un account (sul sito Web Nvidia o altrove), puoi andare alle opzioni e aggiungere l’autenticazione con passkey tramite le impostazioni (se il sito lo prevede). Il più delle volte, quest’ultimo è nascosto nelle impostazioni di sicurezza e si chiama Aggiungi dispositivo/dispositivo di sicurezza. Il sistema operativo prenderà quindi il sopravvento e potrai farti instradare.