Passkey: cos’è e come funziona
Condividi questo articolo
Il Passkey permette di dare l’addio alle password, accelerando il passaggio all’era passwordless. Il sistema di autenticazione è in grado di “certificare la propria identità”, al fine di scongiurare attacchi di phishing. Ecco come attivarlo su Google Android e Apple iPhone
Pubblicato il 11 Mag 2023
Giornalista
Passkey è un sistema di autenticazione unico per accedere con codici e biometria, per dare l’addio alle password e cercare di debellare il phishing.
Secondo il report State of the Phish 2023 di Proofpoint il 79% delle aziende ha subito almeno un attacco via posta elettronica. Di queste, il 7% ha subito un incidente ovvero l’attacco ha provocato perdite finanziarie.
Ecco perché le imprese passeranno a Passkey, vediamo cos’è e come funziona.
Passkeys instead of passwords
Guarda questo video su YouTube
Indice degli argomenti
- Cos’è Passkey
- Cos’è lo standard WebAuthn
- Siti e app che supportano Passkey
- Passkey, i vantaggi rispetto le password
- Google Passkey
- Passkey su iPhone
Cos’è Passkey
Passkey è un sistema di autenticazione, per accedere con codici e biometria, in modo sicuro e facile a tutti i propri account, senza la necessità di memorizzare password lunghe e complesse. Semplifica l’accesso autenticato a servizi digitali e app.
WHITEPAPER
Digital Marketing B2B: guida pratica per creare un piano di successo nel 2023
Advertising
Social Network
Inizio modulo
Leggi l'informativa sulla privacy
- Acconsento alla comunicazione dei dati a terzi appartenenti ai seguenti settori merceologici: servizi (tra cui ICT/digitali), manifatturiero, commercio, pubblica amministrazione. I dati verranno trattati per finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nell’informativa)
Fine modulo
Il Passkey permette di dare l’addio alle password, accelerando il passaggio all’era passwordless. Il dispositivo è in grado di “certificare la propria identità”, al fine di scongiurare attacchi di phishing.
Il sistema sblocca l’accesso grazie a una coppia di chiavi crittografiche: crittografia asimmetrica o a chiave pubblica. Queste chiavi crittografiche, a loro volta, sono direttamente connesse con l’account utente. Con le passkey lo smartphone diventa il dispositivo per eccellenza, per l’autorizzazione di un accesso.
Infatti, in fase di login, è sufficiente confermare sul telefonino l’impronta digitale o il riconoscimento facciale o immettere il PIN o un codice temporaneo da inquadrare con la fotocamera del telefonino (nel caso di accesso da computer), per autenticare l’accesso in automatico, senza dover inserire alcuna password. La crittografia asimmetrica o a chiave pubblica, il meccanismo su cui si fonda il funzionamento delle Passkey, consente di accertare efficacemente l’identità dell’utente. Il sito Web o l’app possono vedere e archiviare la chiave pubblica degli utenti mentre la corrispondente chiave privata resta segreta e conservata in sicurezza nel singolo dispositivo.
Per usare Passkey su un telefono per accedere a un altro computer, occorre abilitare il blocco schermo e Bluetooth.
Cos’è lo standard WebAuthn
Ancora oggi “Password” è la password più diffusa, seguita da 123456. Il motivo per cui le aziende necessitano di adottare Passkey è che vengono scelte e usate male. Invece, secondo un recente report sui data breach di Verizon, a causare l’81% delle violazioni degli account sono password deboli o rubate, ma riutilizzate. Anche se il password reuse è da evitare.
Nel 2019 il W3C ha approvato il protocollo WebAuthn come standard per l’autenticazione ai servizi online, senza bisogno di usufruire delle classiche password.
WebAuthn o Web Authentication è lo standard aperto voluto da FIDO Alliance e W3C, già supportato su Chrome, Firefox ed Edge. Safari lo usa dal dicembre 1918. Android, GitHub, Dropbox, Facebook, Salesforce, Stripe e Twitter hanno subito adottato WebAuthn, ideato per token USB e strumenti biometrici. Oltre a Alibaba, Airbnb, Apple, Google, Intel, IBM, Microsoft, Mozilla, PayPal, Tencent, SoftBank e Yubico.
Go Beyond Passwords with WebAuthn
Guarda questo video su YouTube
Siti e app che supportano Passkey
L’app Kajak è stata una delle prime a implementare la soluzione (appare una finestra popup che chiede se si vuole salvare una Passkey), seguita da Best Buy, eBay, CardPointers e il sito WordPress. Google ha integrato Passkey nei Play Services di Android ed è stato attivato su Chrome (versione 109 o successiva), Google Android e su altre piattaforme grazie alle API WebAuthn. Dopo Apple e Google, anche Microsoft è pronta alla transizione.
Passkey, i vantaggi rispetto le password
La tecnologia Passkey coniuga l’immediatezza della password con la protezione rafforzata dell’autenticazione a doppio fattore. Le passkey offrono il vantaggio di essere interoperabili con tutti i browser più noti e i sistemi operativi.
Il vantaggio principale consiste nello scongiurare attacchi phishing per ottenere le credenziali (di home banking o app mobili bancarie, social media eccetera). Inoltre le password hanno criticità intrinseche: le persone creano password deboli, poco sicure e facili da indovinare; gli attacchi phishing rischiano di intercettare o rubare password; il servizio di archiviazione online può subire violazioni per ottenere le password, soprattutto quelle riutilizzate per più servizi. Passkey evita tutte queste problematiche legate a un cattivo uso delle password.
Google Passkey
Google Passkey può sostituire la parola chiave e l’autenticazione a due fattori. Gli utenti o non sanno scegliere password complesse come richiede la buona prassi; o considerano farraginosa l’autenticazione a due o più fattori e non l’adottano. Il sistema di autenticazione utilizza codici crittografici, creati istantaneamente in modo univoco sui singoli dispositivi.
Gli utenti possono creare passkey sul proprio smartphone Android, per sincronizzarle poi sugli altri dispositivi grazie a Google Password Manager. In questo modo, anche se uno devicesubisse una rottura o in caso di smarrimento, l’utente potrebbe eseguire il login con il proprio account Google e sfruttare la passkey.
Come attivare Passkey di Google
Su smartphone e tablet, l’app di Google per Android o iOS e iPadOS, si digita sulla foto profilo in alto, toccando sul pulsante Account Google. Oppure si esegue l’accesso con il proprio account Google. Si accede alla scheda Sicurezza, pigiando sulla voce Passkey. Ma è possibile anche accedere all’URL diretto per collegarsi alla sezione Passkey di Google.
Una delle due chiavi, quella esterna, è associata al servizio/sito/app e dunque sarà. L’utente dovrà scegliere l’altra, tra pin locale o il riconoscimento biometrico o l’impronta digitale. Passkey permette di eseguire l’accesso all’utenza anche da device appartenenti a uno stesso ecosistema. Infatti è sufficiente memorizzare e archiviare una passkey su iPhone, per renderla disponibile sui Mac e iPad che condividono l’account iCloud. Le due chiavi si generano soltanto una volta.
Quando si vorrà accedere a Google, il sistema di autenticazione aprirà una finestra che richiederà di immettere il Pin locale o usare il riconoscimento biometrico da collegare alla passkey già messa a disposizione dal dispositivo. Per un accesso singolo, è possibile utilizzare temporaneamente un dispositivo esterno. Sul nuovo device si sceglie la voce “usa passkey da un altro dispositivo” per abilitare il login, dando poi l’approvazione dal proprio dispositivo principale.
Passkey su iPhone
Apple è stata una delle prime aziende a introdurre Passkey sui nuovi iOS 16 e macOS 13. Per abilitarlo su iPhone, si accede ad Impostazioni, toccando Password e quindi Opzioni password. Si attiva l’opzione Compilazione automatica password, controllando di spuntare Password e portachiavi iCloud, sotto la scritta Consenti inserimento da.
@RIPRODUZIONE RISERVATA
Valuta la qualità di questo articolo