I criminali informatici diventano ogni giorno più sofisticati. Nel frattempo, troppe persone proteggono ancora i propri account con "Password123".
Un’area chiave dell’attività dei criminali informatici è la sicurezza degli account utente, che il più delle volte viene gestita con una combinazione di nome utente e password. Se a questo si aggiungono utenti poco informati, i malintenzionati hanno vita molto più facile.
Password facili.
Password riutilizzate.
Nessuna autenticazione a più fattori.
Ciascuno dei punti precedenti contribuisce al problema.
Per fortuna, c’è un nuovo strumento di sicurezza che sta guadagnando popolarità: le passkey. Le passkey sostituiscono le password e usano l’autenticazione biometrica, come la scansione dell’impronta digitale o il riconoscimento facciale, per contribuire a proteggere i dati sensibili con un processo di verifica dell’utente più sicuro.
Cosa sono le passkey?
Le passkey sono un metodo crittografico sicuro per autenticare gli utenti senza password, offrendo maggiore sicurezza online, protezione e facilità d’uso. Una volta configurate, le passkey sono più facili da usare delle password ed esponenzialmente più sicure, perché la loro robustezza non dipende dall’utente.
Sempre più siti web stanno adottando questa tecnologia senza password, incluse molte grandi aziende tecnologiche come Google, Amazon, Apple e Microsoft.
Scopri di più sulle passkey in questo blog dettagliato:
Le passkey sono una forma di autenticazione senza password che sostituisce le password tradizionali. Possono essere utilizzate sulla maggior parte dei sistemi operativi all’interno di un gestore di password e sfruttano la crittografia a chiave pubblica, in sviluppo da oltre 10 anni. La FIDO Alliance è stata fondata nel 2013 per guidare e promuovere questa tecnologia, garantendo standard universali e aperti, ed è sostenuta da un lungo elenco di membri e sponsor, tra cui Bitwarden. Le passkey sfruttano i protocolli crittografici WebAuthn sviluppati dall’alleanza, considerati il punto di riferimento per l’autenticazione sicura.
Come funzionano le passkey?
In sostanza, le passkey sono progettate per sostituire le password e sono piuttosto semplici grazie alla crittografia a chiave pubblica.
Quando un utente registra un nuovo account su un sito web o un’app (che supporta le passkey), gli verrà chiesto di creare una passkey. Quando richiesto, basta scansionare il codice QR fornito con un telefono per creare automaticamente la passkey.
Quella passkey è composta da due chiavi: una chiave pubblica e una chiave privata. La chiave pubblica viene archiviata sul server, mentre la chiave privata viene archiviata sul dispositivo dell’utente. Una volta creata la passkey, all’utente verrà chiesto di usarla per accedere a quel sito. Non resta che usare la biometria tramite impronta digitale o riconoscimento facciale su un telefono per effettuare l’accesso.
Per accedere a un sito web abilitato alle passkey, il sito invierà una challenge di accesso — un numero casuale molto grande — e la chiave segreta dell’utente userà la crittografia per “firmare” la challenge con una risposta. Il sito web controlla la firma rispetto alla propria chiave pubblica per verificarne l’autenticità. Una volta confermata, il sito web può concedere l’accesso all’account.
Poiché ogni passkey è una coppia di due chiavi crittografiche asimmetriche correlate, ovvero stringhe di caratteri casuali molto lunghe, il processo di autenticazione è significativamente più sicuro. Anche se queste due chiavi sono diverse tra loro, hanno una relazione speciale: una può decifrare i messaggi (la chiave privata sul dispositivo dell’utente, supportata dalla maggior parte dei sistemi operativi) che sono stati cifrati dall’altra (la chiave pubblica sul server). Questa coppia di chiavi viene usata per verificare e autenticare l’utente.
A differenza delle password, la coppia di chiavi è composta da una chiave privata, conservata in modo sicuro sul dispositivo o in un gestore di password che supporta le passkey (chiamato anche provider di passkey), e da una chiave pubblica, archiviata sul sito web a cui l’utente sta accedendo. Uno degli aspetti più importanti di queste coppie di chiavi è che la chiave privata è sicura e non lascia mai i sistemi operativi su cui è archiviata, e il gestore di password la mantiene protetta tramite biometria, PIN o password. La chiave pubblica, invece, potrebbe essere condivisa con chiunque, ad esempio in caso di violazione dei dati di un sito web, senza compromettere la sicurezza finché la chiave privata rimane protetta.
Ecco una nota analogia che aiuta a comprendere le coppie di chiavi asimmetriche. L’infografica qui sotto spiega i passaggi per usare una passkey e la relativa coppia di chiavi per verificare l’autenticità di un utente quando accede a un sito web.
Grazie alla coppia di chiavi pubblica-privata, le passkey sono molto più efficaci nel prevenire gli attacchi di phishing e nel garantire meglio la privacy degli utenti.
Le passkey in Bitwarden
Bitwarden Password Manager supporta la creazione e l’archiviazione delle passkey, rendendone semplice la gestione.
Inizia oggi con un account gratuito oppure condividilo con il tuo team avviando una prova business gratuita.
Per gli sviluppatori, Bitwarden Passwordless.dev fornisce framework API per aiutarti a creare credenziali FIDO individuabili, come le passkey.