A breve potremmo dire addio alle nostre attuali password, che verranno sostituite dalle passkey: Google sarà il primo a utilizzarle come standard, ma sono realmente più sicure?
Google ha recentemente compiuto un importante passo verso un futuro senza password, annunciando che le passkey diventeranno l’opzione predefinita per l’autenticazione di tutti gli utenti. Questa decisione è stata resa pubblica in occasione della campagna annuale di sensibilizzazione sulla sicurezza informatica (Cybersecurity Awareness Month) e rappresenta un ulteriore sviluppo nel cammino verso una sicurezza digitale più forte e senza l’uso delle classiche password.
Le passkey sostituiranno le attuali password? L’attuale trend in crescita
L’adozione delle passkey da parte di Google riflette una tendenza più ampia nel settore tecnologico: molte grandi aziende stanno cercando soluzioni per superare la dipendenza dalle password tradizionali. Già nel maggio 2022, colossi come Apple, Microsoft e Google hanno annunciato il loro supporto per lo standard sviluppato dalla FIDO Alliance e dal World Wide Web Consortium (W3C), una collaborazione che punta a rendere più semplice e sicuro l’accesso agli account degli utenti. Questo approccio consente di usare passkey o credenziali FIDO su diversi dispositivi senza bisogno di registrare nuovamente ogni account, semplificando la vita degli utenti.
Oltre a Google, anche altre piattaforme di primo piano, come eBay e Uber, hanno recentemente integrato le passkey per i propri utenti.
In cosa consistono le passkey? Sono davvero più sicure?
Ma cosa sono esattamente queste passkey? Le passkey rappresentano un’evoluzione della tradizionale password: al posto di dover memorizzare o scrivere complesse combinazioni di lettere e numeri, l’utente si autentica tramite una chiave digitale memorizzata sul proprio dispositivo, come uno smartphone o un computer. Quando si accede a un sito o a un’app, il dispositivo agisce come una chiave digitale che sblocca l’accesso senza dover digitare nulla.
Dal punto di vista tecnico, le passkey funzionano tramite una coppia di chiavi crittografiche. La chiave privata, custodita in modo sicuro nel dispositivo dell’utente, e la chiave pubblica, registrata con il sito web o l’applicazione, lavorano insieme per convalidare l’identità dell’utente. Per accedere, il dispositivo utilizza la chiave privata per firmare digitalmente una richiesta inviata dal sito web, e quest’ultimo verifica la firma usando la chiave pubblica, autorizzando l’accesso.
Autenticazione a più fattori
Questa tecnologia non solo semplifica l’accesso, ma lo rende anche più sicuro. Le passkey, infatti, rappresentano una forma di autenticazione a più fattori: per utilizzarle, l’utente deve avere il dispositivo che contiene la passkey (un elemento fisico) e deve sbloccarlo tramite un PIN o un dato biometrico (un elemento personale). Inoltre, sono molto resistenti al phishing, poiché sono specificamente legate al dominio del sito per cui sono state create. Una passkey registrata per un sito, come netflix.com, non può essere usata su un sito simile ma dannoso. Se l’utente finisse su un sito fasullo, il dispositivo rifiuterebbe l’autenticazione, impedendo quindi a un attaccante di ingannarlo.
Autenticazione tra dispositivi
Le passkey offrono anche funzionalità di autenticazione tra dispositivi. Questo significa che una passkey salvata su un dispositivo può essere utilizzata per accedere a un altro dispositivo. Ad esempio, per accedere a un nuovo telefono o computer, basta scansionare un codice QR generato sul nuovo dispositivo con quello che contiene la passkey. Durante questa operazione, il sistema verifica la vicinanza dei dispositivi per evitare che un malintenzionato lontano possa sfruttare questa funzionalità per accedere.
Le passkey hanno anche dei punti deboli?
Sebbene le passkey rappresentino un’importante innovazione nel campo della sicurezza digitale, hanno anche alcune criticità che meritano attenzione.
Dipendenza dai dispositivi
le passkey sono legate a uno specifico dispositivo, quindi la perdita o il furto di un dispositivo può complicare l’accesso agli account. Se il dispositivo non è sincronizzato con un account cloud o non è stato configurato per consentire l’autenticazione su altri dispositivi, recuperare l’accesso può essere difficile.
Compatibilità e adozione
Anche se il supporto per le passkey sta aumentando, la loro compatibilità non è ancora universale. Alcuni siti web o servizi potrebbero non supportare ancora le passkey, e gli utenti potrebbero quindi dover fare affidamento su metodi di autenticazione tradizionali. Inoltre, gli utenti meno tecnologici potrebbero trovare complesso il passaggio dalle password alle passkey, richiedendo una fase di apprendimento e adattamento.
Accesso condiviso e delegato
A differenza delle password, che possono essere condivise, le passkey sono legate a un dispositivo specifico e non possono essere trasferite facilmente a un’altra persona, creando complicazioni in situazioni in cui l’accesso deve essere condiviso (come per gli account aziendali o familiari).
Dipendenza dall’ecosistema cloud
Per chi utilizza più dispositivi, il backup delle passkey su un servizio cloud diventa quasi essenziale. Tuttavia, questo solleva preoccupazioni legate alla privacy e alla sicurezza dei dati archiviati nel cloud, poiché eventuali compromissioni del servizio potrebbero esporre le passkey a rischi di violazione.
Rischi di accesso biometrico
Le passkey spesso richiedono metodi di autenticazione biometrica (come impronte digitali o riconoscimento facciale). Tuttavia, se questi dati biometrici venissero compromessi, non potrebbero essere “ripristinati” come una password. Inoltre, non tutti sono a loro agio nell’utilizzare dati biometrici per l’autenticazione, sollevando questioni di privacy e sicurezza.
Resistenza agli attacchi di prossimità
Anche se l’uso di passkey riduce il rischio di attacchi remoti, esiste la possibilità di attacchi di prossimità, come quelli basati sul furto fisico del dispositivo o su exploit che sfruttano la vicinanza tra dispositivi. Ad esempio, durante il processo di autenticazione tra dispositivi, un malintenzionato nelle vicinanze potrebbe tentare di compromettere la connessione.
In sintesi
In generale, le passkey sono una tecnologia promettente e più sicura rispetto alle password tradizionali, ma è essenziale sviluppare e adottare protocolli per affrontare questi punti critici, garantendo che gli utenti possano beneficiare appieno dei vantaggi di questa nuova tecnologia.