Panoramica sulle passkey
Che cos’è una passkey e come funziona?
Le passkey sono una forma di autenticazione che ti consente di creare account e accedervi rapidamente, senza dover usare una password meno sicura. Questo metodo di accesso sicuro in un unico passaggio sostituisce i metodi di autenticazione tradizionali, così come il processo di autenticazione a due fattori (2FA). Ancora meglio, con le passkey non creerai mai più una password debole, perché non dovrai mai più creare una password.
Le passkey sostituiscono le chiavi hardware fisiche, come le Yubikey?
Una Yubikey moderna può essere usata come forma di passkey. In particolare, rientra in ciò che viene definito Security Key o “passkey associata al dispositivo”: la chiave risiede sul piccolo dispositivo e non viene mai sincronizzata né sottoposta a backup. Questo può renderle più difficili da usare rispetto a una passkey sincronizzata, ma può essere utile in determinati scenari.
Le passkey sono la stessa cosa del passwordless?
Sì. Poiché le passkey non richiedono una password, sono considerate un metodo di autenticazione senza password. Tieni presente che, in generale, le passkey sono più sicure di altri metodi di autenticazione senza password che possono essere più facilmente soggetti a phishing.
Qual è il modo migliore per usare le passkey?
Usare una passkey è molto più semplice di quanto si possa pensare. Quando registri un nuovo account, invece di creare un nome utente e una password tradizionali (e configurare l’accesso in due passaggi aggiuntivo), crei un’unica passkey. La passkey può essere associata ai dati biometrici del tuo dispositivo (come uno scanner di impronte digitali) o a un PIN, se richiede la verifica dell’utente. Così, quando accedi all’account, ti verrà richiesto solo di autenticarti tramite biometria o PIN per entrare. I dati biometrici vengono usati solo localmente sul tuo dispositivo e non vengono mai inviati al sito web.
Qual è la procedura per configurare una passkey? Come cambia questa procedura quando in futuro accedo a un sito o a un’app?
Quando un sito web o un’app che in precedenza usava un nome utente e una password tradizionali abilita il supporto per le passkey, spesso basta fare clic su un pulsante per creare la tua prima passkey. Il processo è semplice come sbloccare il dispositivo. In background, quando crei una passkey, viene generata una coppia di chiavi crittografiche. La prima è la chiave pubblica, che viene memorizzata sul sito web per cui stai creando l’account. La seconda è la chiave privata, che viene memorizzata sul tuo dispositivo o nella tua Cassaforte Bitwarden. Questa coppia di chiavi è protetta sul dispositivo dalla tua impronta digitale biometrica o dalla scansione del volto.
Quali informazioni sono richieste per configurare una passkey?
Quando crei una passkey per un sito, devi prima accedere con il nome utente e la password esistenti. Il server invierà quindi al browser una richiesta per fornire specifiche informazioni di crittografia. Dovrai quindi approvare la richiesta usando, ad esempio, la biometria (scanner di impronte digitali o sblocco con il volto) o il codice PIN del dispositivo. Dopo la verifica riuscita, il dispositivo genererà la coppia di chiavi e invierà la chiave pubblica al sito. E queste sono tutte le informazioni che dovrai fornire per configurare una passkey.
Dove vengono memorizzate le mie passkey?
La chiave pubblica viene memorizzata sul sito web, mentre la chiave privata viene memorizzata sul tuo dispositivo o presso il tuo provider di passkey, ad esempio nella tua Cassaforte Bitwarden.
Sicurezza delle passkey
Dal punto di vista della sicurezza, come si confrontano password e passkey?
Le passkey sono più sicure del metodo di autenticazione tradizionale con nome utente e password per diversi motivi. Innanzitutto, non potrai usare password facili da violare, come “password”. Inoltre, la 2FA è integrata nella passkey e l’unico modo in cui qualcuno potrebbe accedere al tuo account sarebbe avere sia la chiave privata sia il tuo accesso biometrico o il codice PIN del dispositivo.
Mi serve la 2FA con la mia passkey?
No, perché la 2FA è integrata nella passkey fornita al sito web durante la procedura di accesso. Ogni sito web può scegliere di includere un passaggio aggiuntivo per l’accesso, anche se la maggior parte non lo fa.
La mia passkey può essere violata?
Nulla è sicuro al 100%. Tuttavia, violare una passkey richiederebbe uno sforzo considerevole: non solo ottenere l’accesso al dispositivo in cui è archiviata la chiave privata, ma anche sbloccare il tuo dispositivo, ad esempio ricreando il tuo accesso biometrico (impronta digitale o volto) o il codice PIN del dispositivo. Per questo motivo, le passkey sono molto più sicure dei metodi tradizionali.
Cosa succede se perdo il telefono? Come recupero la mia passkey senza qualcosa come una password per identificarmi?
Le passkey spesso possono sincronizzarsi tra i tuoi dispositivi, ma non tutte le piattaforme supportano ancora questa funzione. Bitwarden ti consente di archiviare le tue passkey nella cassaforte, che viene sottoposta a backup e sincronizzata tra tutti i tuoi dispositivi. Se in qualche modo dovessi perdere le tue passkey, la maggior parte dei siti dovrebbe offrire opzioni di recupero, così potrai creare una nuova passkey per il tuo account. Naturalmente, questo dipenderà da ciascun sito.
Cosa succede se il mio dispositivo viene rubato? Un ladro può accedere alle passkey in questo modo?
L’unico modo in cui un ladro potrebbe usare con successo le tue passkey sul tuo dispositivo è riuscire anche a sbloccarlo, ottenendo di fatto l’accesso completo ai tuoi dati. Tuttavia, ogni utilizzo di una passkey spesso richiede la verifica dell’utente, ad esempio tramite biometria o reinserimento del PIN del dispositivo, quindi rubare il dispositivo mentre è sbloccato non sarebbe sufficiente.
Usare le passkey con Bitwarden
Google ha annunciato di recente il supporto per le passkey. È la stessa cosa che sta annunciando Bitwarden?
In parte. Google ha annunciato di aver aggiunto il supporto per l’autenticazione con passkey per gli account Workspace, il che significa che gli utenti possono accedere al proprio Google Workspace con una passkey invece della solita password. Allo stesso modo, gli utenti Bitwarden potranno accedere ai propri account Bitwarden con una passkey invece della password principale.
Bitwarden ha inoltre annunciato che gli utenti potranno salvare, archiviare e gestire le passkey registrate associate ai siti web e alle applicazioni che usano direttamente nelle proprie casseforti. Quindi, Google ora rende possibile usare le passkey per gli account e Bitwarden è in grado di archiviare le passkey nelle casseforti.
Uso la stessa passkey indipendentemente dal browser che utilizzo o ogni sito richiederà una passkey diversa a seconda del browser o del dispositivo?
Le passkey archiviate in Bitwarden sono passkey sincronizzate: questo significa che, da qualsiasi browser in cui hai effettuato l’accesso all’estensione Bitwarden o da qualsiasi dispositivo su cui hai installato l’app mobile Bitwarden, puoi accedere ai tuoi account usando le stesse passkey senza doverne creare di nuove. Se non archivi le tue passkey in Bitwarden, dipenderà da quanto bene il browser si integra con il sistema operativo del tuo dispositivo (dove sono archiviate le passkey).
Quali sono alcuni esempi di siti che supportano le passkey?
L’elenco in crescita dei siti che al momento supportano le passkey include Best Buy, Cloudflare, eBay, Google, Kayak, PayPal e GitHub. Su GitHub è disponibile un Passkey Index curato dalla community.
Come userò le passkey con Bitwarden? Ho ancora bisogno di una password principale?
Gli utenti possono usare una passkey per accedere ai propri account senza una password principale nell’app web, utilizzando browser supportati. Le passkey possono anche essere create e archiviate nelle casseforti Bitwarden per accedere ai siti che le supportano.
Le passkey possono essere usate su più piattaforme? In caso contrario, ci sono problemi nell’avere passkey diverse a seconda della piattaforma che si usa?
Esistono due tipi di passkey: passkey associate al dispositivo e passkey sincronizzate. Le passkey associate al dispositivo sono limitate al dispositivo su cui sono state create. Le passkey sincronizzate possono essere archiviate all’interno di un provider di passkey come Bitwarden e usate ovunque tu abbia effettuato l’accesso.
Sarò vincolato all’uso delle passkey se le adotto?
Dipende dal sito o dall’account. Alcuni siti possono scegliere di offrire solo l’autenticazione con passkey, mentre altri possono offrire l’autenticazione tradizionale con nome utente e password oppure con nome utente, password e 2FA.
Le passkey possono essere condivise con altre persone fidate?
Dipende dalla piattaforma. Alcune piattaforme, tra cui Bitwarden, consentono di condividere le passkey con persone fidate.
È disponibile assistenza, ad esempio un operatore in chat dal vivo con cui parlare se ho problemi con la mia passkey?
Dipende dal sito. Se un sito supporta l’autenticazione con passkey e offre assistenza, potrà rispondere alle tue domande sull’autenticazione con passkey per quello specifico sito.
Se non voglio più usare la mia passkey, posso rimuoverla?
Sì. Puoi farlo nello stesso modo in cui rimuoveresti una password dal tuo dispositivo.