Mosaico

Password out, passkey in: come prepararsi al passaggio?

Le password hanno caratterizzato l’era digitale, consentendo di accedere a servizi e siti web in modo relativamente sicuro per molti anni. Tuttavia, con l’aumento del cyber crimine e la diffusione di tecniche come il phishing, ossia l’invio di email ingannevoli con l’obiettivo di ottenere dati sensibili, è stato necessario introdurre standard più efficaci.

L’autenticazione a due fattori ha risolto alcuni problemi aggiungendo un ulteriore livello di sicurezza, ad esempio il riconoscimento delle impronte digitali o del viso dopo l’inserimento di nome utente e password. Questo sistema però non si è rilevato perfetto, in parte a causa di un utilizzo non ottimale da parte degli utenti e in parte per l’evoluzione dei crimini informatici.

Una soluzione utile è arrivata con il password manager, una sorta di cassaforte digitale dove custodire tutte le credenziali di accesso in modo sicuro e comodo. Il gestore delle password protegge i codici di login con avanzati algoritmi di crittografia, quindi basta installare un’app sul proprio dispositivo, inserire le proprie credenziali e accedere ovunque senza rischi. 

L’ultima frontiera riguarda le passkey, ovvero un sistema di autenticazione innovativo basato sul protocollo FIDO2, un progetto sorto attraverso la collaborazione tra il World Wide Web Consortium e le aziende tech della Fido Alleance. Il passkey di fatto inaugura l’era passwordless, ossia senza password, offrendo una protezione più efficace contro una serie di minacce cyber come il phishing.

Come funziona la tecnologia passkey

Il sistema passkey è uno strumento di autenticazione alternativo alle password tradizionali, il cui funzionamento prevede l’utilizzo di due chiavi crittografiche. Innanzitutto l’utente dispone di una chiave privata installata nel proprio dispositivo, che rimane nota soltanto alla persona che possiede il device. Per completare l’autenticazione serve anche una chiave pubblica, custodita e conosciuta nell’app o nel sito web a cui accedere.

La chiave privata e quella pubblica non consentono l’accesso se vengono utilizzate singolarmente, quindi è necessario validare entrambe per effettuare il login al servizio. Qualora una delle due chiavi venga compromessa, per esempio in seguito al furto dello smartphone o alla violazione del sito web, i cyber criminali non possono comunque ottenere l’intera sequenza di accesso ma solo una delle chiavi, dunque si tratta di un sistema molto sicuro ed efficace.

Il funzionamento delle passkey è abbastanza semplice. Basta infatti avere un dispositivo compatibile come notebook, computer, smartphone, tablet o token di sicurezza con supporto per lo standard FIDO2, attivare il blocco schermo e la connettività Bluetooth. In seguito bisogna autenticare l’accesso a un servizio usando l’impronta digitale o il riconoscimento facciale, mentre il sito web o l’app vedono solo la chiave pubblica che conferma il login e garantisce la correttezza dell’operazione.

Ovviamente rimane essenziale proteggere i device contro virus e malware, utilizzando un antivirus per Android o iOS a seconda del proprio dispositivo per tutelare i dati sensibili e prevenire le principali minacce cyber. Tuttavia il sistema passkey offre innegabilmente un miglioramento del livello di sicurezza informatica, in quanto abbina la velocità e la comodità delle password con la protezione assicurata dall’autenticazione a due fattori.

I siti e le app che supportano le passkey

La tecnologia passwordless è ancora agli albori, infatti le app e i siti web che supportano le passkey sono ancora pochi.

In futuro Apple e Google, le principali aziende tech che stanno puntando su questo sistema, potrebbero rendere obbligatorio le passkey per le app dei rispettivi play store, ma per il momento l’adesione al progetto rimane limitata, con appena qualche sito o app compatibile.

Tra questi ci sono Google, Dropbox, Facebook, Best Buy, Twitter, Yahoo!, NVIDIA, Stripe, PayPal (bisogna configurare le passkey attraverso Chrome ma in seguito funziona anche con Safari) e Microsoft (passkey è disponibile solo per l’accesso al motore di ricerca Edge tramite QR Code). Il numero di siti e app con supporto per passkey è destinato ad aumentare nei prossimi anni, inoltre questo sistema sarà sempre più presente in modo nativo sui dispositivi di nuova generazione.

Per ora il modo migliore per proteggere le password è utilizzare l’autenticazione a due fattori e un gestore delle password, una soluzione comoda ed efficiente per accedere ai servizi digitali in maniera sicura e veloce. Naturalmente, per incrementare ulteriormente il livello di sicurezza è anche possibile ricorrere anche a un’apposita protezione anti-phishing, vale a dire quell’estensione del browser che blocca i dirottamenti così come l’apertura di pop-up infetti e di siti truffa.

Il problema principale delle password nell’era di internet rimane la scarsa attenzione riservata a questo strumento da parte degli utenti, dalla creazione di password deboli e poco sicure alla bassa consapevolezza sul cyber rischio, in particolare sugli attacchi phishing.

Passkey è una soluzione sviluppata appositamente per risolvere queste criticità, affinché chi era abituato a fare un cattivo utilizzo delle password possa comunque usare i servizi digitali in sicurezza.