Le passkey sono una forma di autenticazione relativamente nuova e decisamente più sicura delle password tradizionali. Usando le passkey, gli utenti non devono inserire una password per accedere a un'app o a un sito web. Le passkey ci riescono sfruttando la crittografia a chiave pubblica e metodi di verifica dell'utente (come dati biometrici o PIN) per autenticare un utente. Con questo metodo, le informazioni private restano al sicuro, anche da tentativi di phishing o hacking.
Chiedi a qualsiasi utente e ti confermerà quanto sia frustrante dover gestire password complicate. Poi chiedi a un membro del team IT quanto sia frustrante occuparsi di utenti finali che dimenticano le password e richiedono di cambiarle. Oltre a questo, cambiare e gestire le password consuma molto tempo del personale IT, tempo che potrebbe essere dedicato ad attività più importanti.
È qui che entrano in gioco le passkey, e Bitwarden offre il supporto integrato per le passkey.
Ma le passkey sono davvero più sicure delle password?
Le passkey sono più sicure delle password? Alla scoperta della loro diffusione
I primi semi delle passkey sono stati piantati intorno al 2018, quando Google, Microsoft e Apple hanno iniziato a lavorare su sistemi precedenti alle passkey, incentrati su protocolli di scambio di chiavi per la verifica dell'identità. Quei primi tentativi nacquero dall'esigenza di trovare modi migliori per contrastare gli attacchi di phishing e altre minacce alla cybersecurity. Dopo l'introduzione del supporto da parte di Apple, il Portachiavi iCloud ha permesso agli utenti di sincronizzare e archiviare le passkey sui dispositivi Apple.
Poi, nel 2019, lo sviluppo delle passkey è iniziato davvero grazie alla collaborazione tra il World Wide Web Consortium (W3C), Apple, Google, Microsoft, Samsung e altri. Il passo successivo è stato sfruttare i dati biometrici (cioè riconoscimento facciale e impronte digitali) per l'autenticazione, così che gli utenti non dovessero usare informazioni sensibili (password), molto più facili da rubare. Questo comporta la creazione di una chiave univoca basata su fattori come il riconoscimento facciale. Le passkey possono essere configurate su vari dispositivi, inclusi dispositivi Android e computer, per garantire la compatibilità tra piattaforme. Nel lungo periodo, le passkey sono progettate per sostituire le password, offrendo un metodo di autenticazione più sicuro e pratico.
Una volta che le passkey hanno iniziato a essere standardizzate, le aziende hanno cominciato ad adottarle. Anche i password manager, come Bitwarden, includono funzionalità per generare e archiviare le passkey, così da poterle gestire facilmente. Gli utenti possono conservare le passkey in modo sicuro all'interno dei password manager, e archiviarle in sicurezza è essenziale per un accesso senza interruzioni. La creazione e l'utilizzo delle passkey avvengono tramite le estensioni web e le app mobili.
Cosa sono le passkey e come funzionano?
Le passkey si basano sulla crittografia a chiave pubblica, in cui le chiavi private sono archiviate in modo sicuro sul tuo dispositivo e solo una chiave pubblica viene condivisa con il sito web. Non sono complicate come si potrebbe pensare. Ecco come funzionano le passkey. Quando ti registri a un sito web o a un'app che supporta le passkey, segui questi passaggi:
Configurazione del dispositivo - Questa operazione si esegue sul telefono. Quando ti registri a un sito o a un'app che supporta le passkey, ti verrà chiesto di configurarla sul tuo dispositivo mobile (come Android o iOS). Questo comporta la creazione di una chiave univoca basata su fattori come il riconoscimento facciale.
Verifica la chiave - Ti verrà quindi chiesto di verificare la chiave tramite riconoscimento facciale o dell'impronta digitale per completare la procedura di configurazione. Questo processo può comportare lo sblocco del dispositivo tramite dati biometrici.
Uso della passkey - Una volta configurata la passkey, il sito web o l'app associati alla chiave richiederanno la passkey corrispondente quando tenterai di accedere. L'accesso con una passkey in genere richiede solo il nome utente e la verifica biometrica. Il telefono presenterà opzioni basate sui dati biometrici (Face ID/Touch ID). Se i dati biometrici corrispondono a quelli memorizzati nella passkey, l'accesso viene concesso.
Sono disponibili app mobili ed estensioni web per aiutarti a gestire le tue passkey. I browser web supportano sempre più l’autenticazione con passkey per esperienze di accesso senza interruzioni. Quando configuri un nuovo dispositivo, le tue passkey possono essere sincronizzate per garantire l’accesso continuo ai tuoi account.
Scopri di più su come funzionano le passkey.
Autenticazione senza password: una nuova era
Stiamo entrando in una nuova era dell’autenticazione senza password, in cui accedere agli account online è più sicuro e più comodo che mai. A differenza delle password tradizionali, che spesso richiedono agli utenti di ricordare combinazioni complesse o di affidarsi a gestori di password per generarne di robuste, la tecnologia delle passkey consente di autenticarsi con un semplice tocco o uno sguardo. Sfruttando l’autenticazione biometrica, come l’impronta digitale o il riconoscimento facciale, gli utenti possono accedere in modo sicuro senza mai digitare una password.
Questo cambiamento è guidato dal numero crescente di violazioni dei dati e vulnerabilità di sicurezza legate alle password tradizionali. Gli hacker sono diventati abili nello sfruttare password deboli o riutilizzate, e anche gli utenti più scrupolosi possono cadere vittima di attacchi di phishing o tentativi di forza bruta. Con le passkey, l’autenticazione richiede qualcosa che ti identifica (come la tua impronta digitale o il tuo volto), rendendo molto più difficile per gli aggressori ottenere accessi non autorizzati.
Anche i gestori di password si stanno evolvendo per supportare questa nuova tecnologia, aiutando gli utenti a memorizzare e gestire le proprie passkey insieme alle eventuali password rimanenti. Combinando la comodità dell’autenticazione biometrica con la solida sicurezza della tecnologia passkey, gli utenti possono vivere un’esperienza fluida e sicura su tutti i loro account online, senza la preoccupazione costante di ricordare o proteggere password complesse.
Le passkey sono più sicure delle password?
Questa è la grande domanda, ed è legittima. Con la continua crescita delle minacce alla cybersicurezza, garantire che gli account siano protetti nel modo più rigoroso possibile è diventato assolutamente indispensabile. Tuttavia, usare solo le password lascia gli account vulnerabili agli attacchi di forza bruta e alle tecniche di ingegneria sociale.
In generale, le passkey sono più sicure delle password, e ci sono motivi molto specifici per cui lo sono. Il motivo principale è che gli utenti tendono a usare password molto deboli, che possono essere violate facilmente. Questa è una delle differenze chiave tra i sistemi di password tradizionali e le passkey. Succede perché la maggior parte degli utenti vuole seguire la strada più semplice, e digitare password123 è molto più facile di 7rfw#ZVnPa4^pP. E visto quanto gli hacker amino i bersagli facili, è logico che prendano di mira gli utenti che usano password tradizionali.
Inoltre, gli utenti tendono a usare la stessa password per più account/app. Ciò significa che a un hacker basta un solo tentativo riuscito per accedere a più siti web e app associati a quelle credenziali riutilizzate. Questa pratica aumenta il rischio di violazione dei dati, poiché una sola password compromessa può portare alla compromissione di più account.
Le passkey non dipendono dall’utente per garantire che ogni credenziale di accesso sia robusta e univoca, quindi sono generalmente considerate un’opzione di autenticazione più sicura. Ogni passkey è univoca per chi la crea e, poiché la chiave privata viene generata e archiviata su un dispositivo, l’unico modo per accedere a un account protetto da passkey è usare quel dispositivo.
Un altro motivo per cui le passkey sono più sicure delle password è che non è necessario digitare una password su una tastiera o su un telefono. A differenza delle password, le passkey non sono vulnerabili al furto tramite phishing o attacchi di forza bruta. Immagina che qualcuno ti stia guardando alle spalle mentre digiti quella password. Quella persona potrebbe memorizzarla e usarla contro di te. Con le passkey non è possibile. Anche se un malintenzionato rubasse il tuo telefono, non potrebbe usare le passkey senza superare i controlli biometrici. Nessuna impronta digitale o scansione facciale corrispondente significa nessun accesso all’account o all’app. Le passkey sono più sicure delle password perché proteggono gli utenti dalle minacce comuni e riducono la necessità dell’autenticazione a due fattori.
Le passkey sono progettate per sostituire nel tempo le password tradizionali, offrendo un’opzione sicura che non è vulnerabile all’errore umano e, quindi, è meno esposta agli attacchi informatici.
Il ruolo dei gestori di password in un futuro senza password
I gestori di password inizieranno ad assumere un ruolo più importante con le passkey, grazie all’archiviazione centralizzata, e alcuni aggiungeranno funzionalità come l’integrazione biometrica e la verifica dell’utente. Con l’archiviazione centralizzata delle passkey, queste diventeranno ancora più facili da usare.
Immagina che tutti i tuoi account siano configurati per la verifica con passkey e di perdere il telefono. Cosa fai? I gestori di password possono archiviare quelle passkey e poi sincronizzarle senza problemi da un telefono all’altro, richiedendo i tuoi dati biometrici per trasferire correttamente le chiavi dal gestore di password al telefono. In alcuni casi, il trasferimento delle passkey può richiedere la prossimità fisica tra i dispositivi, ad esempio tramite Bluetooth, per aumentare la sicurezza durante il processo.
Con le passkey sempre più diffuse, puoi contare sul fatto che i gestori di password si integreranno con questa funzione di autenticazione migliorata. Quando ciò accadrà, il processo di autenticazione sarà sia più semplice sia più sicuro.
Il futuro dell’autenticazione online
Guardando al futuro, l’autenticazione online è destinata a diventare davvero senza password, con le passkey pronte a sostituire le password tradizionali come standard per proteggere gli account online. La FIDO Alliance, un gruppo di settore che include giganti tecnologici come Google, Microsoft e Apple, sta guidando l’adozione delle passkey, assicurando che sempre più aziende e piattaforme le supportino su più dispositivi e sistemi operativi.
La tecnologia passkey si basa sulla crittografia a chiave pubblica, il che significa che la tua chiave privata rimane archiviata in modo sicuro sul tuo dispositivo, mentre solo una chiave pubblica viene condivisa con il sito web o l’applicazione. Questo approccio elimina la necessità di trasmettere o archiviare password, riducendo drasticamente il rischio di violazioni dei dati e vulnerabilità di sicurezza. Man mano che più aziende supporteranno le passkey, gli utenti potranno autenticarsi senza problemi su tutti i loro dispositivi, senza dover gestire più password complesse né preoccuparsi del riutilizzo delle password.
I gestori di password continueranno a svolgere un ruolo fondamentale in questa transizione, aiutando gli utenti a memorizzare e gestire le proprie passkey con la stessa facilità con cui un tempo gestivano le password. Con l’adozione diffusa delle passkey, il processo di autenticazione diventerà più sicuro, intuitivo e resistente alle minacce comuni come gli attacchi di phishing. Con il progresso della tecnologia e l’adozione delle passkey da parte di un numero crescente di aziende, la visione di un futuro senza password, in cui la tua privacy e la tua sicurezza digitale sono più forti che mai, diventerà presto realtà.
Genera e gestisci efficacemente le passkey con Bitwarden.