Se ne parla da un po’ nella community IT e di Cybersecurity: sia chiama tecnologia Passkey e promette di mandare in pensione le password e il Codice One Time Password (OTP) nel processo di Autenticazione a doppio fattore (di riconoscimento).
Le password presentano problemi di sicurezza, che se sfruttati generano violazioni, phishing e identita rubate, e possono essere scomode da ricordare per gli utenti, specialmente quando sono molteplici e per ogni sito devono essere ricordate o custodite in qualche modo o app che, a sua volta, non sia violabile dai criminali.
Le passkey sono un nuovo tipo di credenziale che sfrutta l'autenticazione biometrica, come l'impronta digitale o il riconoscimento facciale, oppure un PIN o una sequenza di scorrimento utilizzata con gli
Android per l'accesso. Google nel suo blog spiega in dettaglio di cosa si tratta: Le passkey sono state create con un nuovo standard web, lo standard di sicurezza Web Authentication API o WebAuthn, che utilizza la crittografia a chiave pubblica per verificare l’identita e per l'accesso e sostituisce l’accoppiata “nome utente e password”. Ogni chiave e unica e creata con dati crittografati per una maggiore sicurezza.
WebAuthn e la stessa soluzione utilizzata dalle app di messaggistica sicura, per crittografare le conversazioni e dai processori di pagamento online, per assicurarsi che i dettagli della carta di credito non vengano rubati; quindi, e ben compresa e ampiamente utilizzata. Quando si crea account per un servizio che utilizza WebAuthn, invece di generare una password che corrisponda ad alcuni criteri arbitrari, il dispositivo creera una coppia univoca di chiavi matematicamente correlate. Una e chiamata chiave pubblica e l'altra e chiamata chiave privata. La chiave pubblica e archiviata sui server del servizio, ma non importa se gli hacker lo rubano o se viene divulgato in altro modo, proprio perche e condivisibile e quindi puo essere di dominio pubblico senza che cio influisca sulla sicurezza. La chiave privata, invece, e archiviata in modo sicuro sul dispositivo e deve rimanere segreta. Ad ogni accesso dell’utente il dispositivo di accesso viene “sfidato” presentando la chiave pubblica. Poiche le due chiavi sono matematicamente correlate, se e solo se il dispositivo risponde alla sfida usando la chiave privata (senza
trasmetterla) allora l’accesso sara garantito. Non ci sono informazioni che i criminali possano rubare…
Quindi all’accesso ad un account che utilizza WebAuthn, il dispositivo o browser web chiedera di sbloccare l’account utilizzando un PIN o un'opzione biometrica come FaceID o TouchID. E tutte le operazioni relative alla chiave pubblica e privata verranno eseguite automaticamente in background.
Apple e Google hanno aggiornato il software del telefono e i browser web a fine 2022 per utilizzare la tecnologia passkey. In particolare, Google informa degli aggiornamenti sull'implementazione delle esperienze passkey sia su Chrome che su Android, servizi come Docusign, Kayak, PayPal, Shopify e Yahoo! (Google blog). L’adozione delle passkey si sta diffondendo a macchia d’olio: oltre alle applicazioni di Google, Gmail e YouTube la funzionalita e gia attiva per alcune app da Uber a eBay, da PayPal a Microsoft e potra progressivamente estendersi, grazie alla partecipazione dei colossi del settore all’alleanza Fido (Fast Identity Online) perche l’obiettivo finale e creare un metodo unico e condiviso per l’accesso sicuro alle piattaforme digitali.
Naturalmente “non e tutto oro quello che luccica” perche anche le passkey sono soggette a rischi. Igor Kuznetsov, Director, Global Research and Analysis Team (GReAT) di Kaspersky fa sapere che nonostante ogni passkey sia collegata a un sito web specifico, in modo da impedirne l'uso su siti fraudolenti, sono soggette alle stesse minacce che colpiscono qualsiasi metodo di autenticazione.
Questo significa che se il dispositivo utilizzato per il login (computer o telefono) viene compromesso, i criminali informatici possono utilizzare il social engineering per ingannare l'utente e farlo accedere a un'applicazione fraudolenta o rubare i dati dopo un login riuscito. È inoltre importante ricordare che, per impostazione predefinita, le passkey sono sincronizzate con i servizi cloud del provider, come Google o Apple, entrambi membri dell'alleanza FIDO. In caso di compromissione dell'account del provider (ad esempio, un account Google o un ID Apple), la sicurezza della passkey diventa vulnerabile. Come sempre gli esperti suggeriscono di affiancare alle passkey una protezione applicativa del dispositivo, curare l'aggiornamento regolare del software e fare attenzione a chiamate, sms, link sospetti.
Per approfondimenti si può consultare anche la guida on line pubblicata da Mirella Castigli.
Alessia Valentini