Passkey il presente dell’autenticazione

Ne abbiamo sentito parlare, soprattutto perchè Microsoft, Google e Apple hanno dato recentemente una pesante accelerata verso questa tecnologia per gli account personali. Le passkey sono di fatto il presente dell’autenticazione. Ma di che si tratta ?

Una passkey è un metodo di autenticazione che sostituisce le password tradizionali con un sistema più sicuro e user-friendly basato su chiavi crittografiche. Le passkey sono progettate per essere utilizzate nei contesti di login e autenticazione senza la necessità di memorizzare o gestire password complesse (sembra un sogno eh?).

In pratica, una passkey combina un PIN locale o un fattore di autenticazione biometrica (come l’impronta digitale o il riconoscimento facciale) con una coppia di chiavi crittografiche per garantire un accesso sicuro.

Le passkey sfruttano la tecnologia di autenticazione a due fattori (2FA) e l’architettura a chiave pubblica/privata (PKI) per fornire una sicurezza robusta.

Ecco come funziona il processo:

Quando un utente si registra per la prima volta su un servizio che supporta le passkey, viene creata una coppia di chiavi crittografiche: una chiave pubblica e una chiave privata.
La chiave privata si memorizza in modo sicuro sul dispositivo dell’utente (come uno smartphone, un tablet o un computer), mentre la chiave pubblica viene inviata e memorizzata sul server del servizio.

Quando l’utente desidera accedere al servizio, deve dimostrare di essere in possesso della chiave privata. Questo può avvenire tramite un metodo biometrico (come l’impronta digitale o il riconoscimento facciale) o un PIN locale, che “sblocca” la chiave privata. Una volta sbloccata, la chiave privata firma una richiesta di autenticazione che viene inviata al server. Il server verifica la firma utilizzando la chiave pubblica precedentemente memorizzata. Se la verifica ha successo, l’accesso è concesso.

I vantaggi sono indubbiamente tanti. Le passkey eliminano innanzitutto i rischi associati alle password tradizionali, come il furto di password, il phishing e gli attacchi bruteforce.Infatti, la chiave privata non lascia mai il dispositivo dell’utente e non è né trasmessa o condivisa, riducendo significativamente il rischio di compromissione.

Anche la cosiddetta “User Experience” fa un gran passo in avanti poichè le passkey semplificano il processo di login, eliminando la necessità di ricordare e gestire password complesse inoltre l’autenticazione biometrica o tramite PIN locale è generalmente più veloce e comoda per gli utenti.

In ultimo, ma non per importanza, le passkey sono resistenti agli attacchi di phishing, poiché non è possibile ingannare l’utente a fornire una chiave privata direttamente. Inoltre, l’uso di chiavi crittografiche rende inefficaci gli attacchi a forza bruta.

Tutti ottimi motivi che rendono di fatto le passkey il presente dell’autenticazione, che però guarda già in un futuro passwordless.

Le passkey sono supportate da diversi standard di autenticazione, come WebAuthn (Web Authentication), parte del più ampio standard FIDO2 sviluppato dalla FIDO Alliance. WebAuthn è ampiamente adottato dai principali browser web e sistemi operativi, rendendo le passkey una soluzione praticabile per molte applicazioni e servizi online.

Le passkey rappresentano un passo significativo verso un futuro senza password, migliorando la sicurezza e l’esperienza utente. Combinano l’autenticazione biometrica o un PIN con tecnologie di chiave pubblica/privata. Questa combinazione offre una protezione robusta contro minacce come phishing, furto di password e attacchi di forza bruta. L’adozione di standard come WebAuthn e il supporto di grandi aziende tecnologiche stanno accelerando la diffusione delle passkey. Stanno rapidamente diventando una componente fondamentale delle moderne strategie di autenticazione. Questo progresso ci avvicina a un futuro più sicuro e senza password.