Niente più password: come le passkey sostituiranno la tua password
Per evitare ambiguità verranno utilizzati i seguenti termini;
Autenticatore ; Il telefono cellulare utilizzato per effettuare il login
Sito Web ; Il sito Web o l'applicazione utilizzata dall'utente per effettuare la richiesta di accesso
Servizio ; Il fornitore che fornisce il servizio dato, ad esempio Google Mail, Microsoft Outlook
Qual è il problema con le password?
Le password sono sinonimo del nostro utilizzo di Internet, le usiamo per accedere alle nostre e-mail, account di social media o per controllare i nostri saldi bancari. Ci viene ricordato di impostare password complesse "buone" con ogni sito che ha la propria definizione di ciò che sembra buono.
Nonostante questi sforzi, le password rimangono un punto debole poiché molti usano password deboli e/o la stessa password tra gli account. Spesso alcuni cadono vittime di siti Web che fingono di essere servizi autentici, noti come phishing. È qui che gli utenti fanno clic su un collegamento che ritengono autentico ma che in realtà è un sito Web falso creato per rubare la password dell'utente.
I siti Web di "phishing" falsi molto validi possono anche indurre gli utenti all'autenticazione a più fattori (MFA) se il tipo di MFA non è progettato per resistere agli attacchi di phishing. Tuttavia, avere un MFA è meglio che non averlo affatto.
Cosa sono le chiavi di accesso
Le passkey sostituiscono le password e sono progettate per resistere agli attacchi di phishing. Inoltre rendono il processo di accesso molto più semplice per gli utenti oltre ad essere più sicuro.
Prendiamo Batool come esempio, ha utilizzato una password per accedere al suo account Gmail. Passando a una passkey, può accedere utilizzando l'impronta digitale o il volto. La password diventa un metodo alternativo nel caso in cui non possa utilizzare la passkey (le password verranno eventualmente ritirate a un certo punto).
Le passkey utilizzano il concetto di chiavi private e pubbliche , invece di una passphrase Batool ora ha una chiave privata che viene creata, archiviata e gestita senza problemi dal suo telefono cellulare. Ciò potrebbe avvenire tramite un'app di autenticazione o all'interno del sistema operativo.
Il telefono di Batool sa come caricare automaticamente la sua nuova chiave pubblica su Gmail, come parte della sua creazione della passkey con Gmail.com.
Gmail ora conosce la chiave pubblica di Batool e quindi le chiederà di confermare che è sua richiedendo a Batool di sbloccare il suo telefono e firmarlo utilizzando la sua chiave privata.
Tutto questo accade in background tra Gmail.com e il suo telefono, Batool deve solo preoccuparsi di utilizzare la sua impronta digitale o lo sblocco biometrico facciale come farebbe normalmente. Potrebbe dover selezionare la passkey da utilizzare se ha configurato molti account Gmail.com diversi.
I siti Web falsi ora rappresentano meno una minaccia in quanto non dispongono della chiave pubblica di Batool e quindi non può accedere. Ricorda che la chiave privata non lascia mai il suo telefono cellulare.
Quindi, come fa Batool a passare da una password a una passkey?
Il diagramma seguente mostra come Batool passa dall'utilizzo di una password a una passkey per il suo account Gmail.
1- Batool accede al servizio (Gmail) utilizzando il suo nome utente e password.
2- Gmail ora supporta le passkey, viene inviata una richiesta a Batool per creare una passkey oppure potrebbe essere necessario accedere a g.co/passkeys .
3- Viene visualizzata una notifica per creare una passkey.
4- Batool sceglie di creare una passkey e le viene chiesto di sbloccare il suo telefono utilizzando l'opzione biometrica, questo consente al suo telefono di creare in modo sicuro una nuova passkey per Gmail.com e di archiviarla in modo sicuro per lei.
5- La chiave privata è legata al suo profilo utente, cioè sincronizzata sui suoi dispositivi. In questo esempio, Batool utilizza un iPhone in modo che possa essere sincronizzato utilizzando iCloud. Tuttavia, metodi alternativi possono essere utilizzati da fornitori diversi, ad esempio Microsoft Authenticator o Google Password Manager.
6 - La chiave pubblica corrispondente viene inviata a Gmail.
7- Google memorizza SOLO questa chiave pubblica e viene utilizzata nei futuri tentativi di accesso per convalidare le firme firmate da Batool.
Mentre Batool utilizza la sua impronta digitale o il suo volto per utilizzare la passkey, è come sbloccare il dispositivo o accedere all'online banking: la rappresentazione digitale della sua impronta digitale o del suo volto non lascia MAI il telefono cellulare , è memorizzata crittografata nel telefono e non può essere accessibile da Gmail o chiunque abbia creato il dispositivo, come Apple o Android.
Ora Batool ha una passkey, come funziona il processo di accesso?
Il diagramma seguente mostra come Batool accederà al suo account Gmail utilizzando la sua passkey.
1- Batool accede al sito Web di accesso di un determinato servizio, in questo caso Gmail.
2- Batool ha precedentemente creato una passkey (vedi sopra) per Gmail, quindi viene inviata una sfida dal servizio Gmail.
3- La sfida viene ricevuta dal telefono di Batool e appare come un elenco di passkey disponibili dal servizio, ad esempio se Batool ha più di un account Gmail, appariranno due passkey
4- Batool seleziona la passkey per il suo account Gmail e quindi utilizza la biometria per sbloccare il suo telefono cellulare, questo consente quindi al suo telefono di utilizzare la chiave privata.
5- La sfida di Google viene quindi firmata dalla chiave privata di Batool.
6- Una sfida firmata viene quindi inviata a Google, che fornisce una forte sicurezza che Batool stia effettuando l'accesso.
7 - Google utilizza la chiave pubblica per Batool per confermare l'accesso riuscito.
Quando accedi a Google d'ora in poi, Google richiederà la passkey quando possibile. Se Passkey non è disponibile, Batool può comunque utilizzare la sua password Google.
Questo fa parte di un passaggio graduale a Passkeys poiché più servizi abbracciano Passkeys, speriamo di vedere un futuro senza password e una maggiore resilienza al phishing.
Apple, Google e Microsoft stanno collaborando per aumentare la consapevolezza e l'adozione delle passkey con ulteriori informazioni in merito qui .
Mille grazie a Joel Samuel e Ali Sarraf che hanno recensito questo pezzo.