Dopo anni di uso di password come sistema di autenticazione, siamo arrivati all’era delle passkey. Le password rappresentano l’anello debole della sicurezza online in quanto gli utenti tendono a ignorare tutte quelle pratiche che le renderebbero più sicure e più difficili da attaccare. Se volete sapere come avere delle password sicure, vi invito a dedicare qualche minuto alla lettura della nostra guida dedicata alla creazione di password sicure.
Appurato il problema della gran parte della password online e, allo stesso tempo, riconoscendone l’importanza, i grandi big dell’industria si sono messi in moto per cercare una soluzione. Ecco che arrivano quindi le passkey, con cui ci toccherà familiarizzare perché presto saranno importanti almeno quanto lo sono per noi le “vecchie” password.
Cosa è una passkey?
La passkey, o “chiave di passaggio” nella nostra lingua, è un termine utilizzato per descrivere una forma di autenticazione che agisce come una sorta di “password universale”. Questo concetto è stato promosso dalla FIDO Alliance, un consorzio di importanti aziende tecnologiche tra cui Apple, Microsoft, Google, e altre, che mira a sviluppare un nuovo standard di autenticazione che non dipenda dalle tradizionali password.
Vediamo adesso alcuni problemi comuni legati all’uso delle tradizionali password:
- creazione di password non sicure o facilmente intuibili (es. controlla la sicurezza della tua password);
- attacchi come il phishing che possono compromettere la nostra password (spesso è l’utente che ingannato fornisce le proprie credenziali al malintenzionato);
- archiviazione online delle password che, se un servizio è violato, possono mettere a rischio la sicurezza degli account degli utenti. Se, inoltre, un utente utilizza la stessa password per più servizi, il rischio aumenta significativamente.
L’autenticazione a due fattori (2FA), che è ormai molto diffusa, ha aiutato a mitigare molti di questi problemi introducendo un ulteriore livello di sicurezza. Tuttavia, il sistema non è infallibile e gli utenti possono ancora cadere vittime di attacchi mirati.
La passkey, in questo contesto, entra in gioco come un’innovativa soluzione per superare i limiti delle tradizionali password. Ancora in fase di sviluppo e implementazione, si prevede che le passkey contribuiranno a migliorare notevolmente la sicurezza online.
Su quale tecnologia si basano le passkey?
Nel 2018, il World Wide Web Consortium (W3C), un’organizzazione che si occupa di stabilire le regole del gioco per lo sviluppo web a lungo termine, ha lanciato WebAuthn. Si tratta di un standard aperto che permette agli sviluppatori di inventarsi soluzioni per l’accesso ai siti (diverse dalle solite password) e che funzionano alla stregua di “bacchette magiche” per sistemi di accesso ma che proteggono dagli attacchi di phishing.
WebAuthn è un pezzo chiave del progetto FIDO2, che è un lavoro di squadra tra la FIDO Alliance e il W3C per creare un’autenticazione sicura e pratica per il web. Questo significa che il sistema di autenticazione sarà pianamente multipiattaforma. Usando l’API WebAuthn, sia gli sviluppatori web che i produttori di dispositivi, si assicurano che l’autenticazione funzioni a prescindere dal device (se stai usando un Android, un iOS, un Mac o un PC Windows).
Come funziona una passkey?
L’API WebAuthn rende l’accesso ai siti web più semplice e sicuro, senza bisogno di usare password o SMS. Con questa API, potete usare i vostri dispositivi o le credenziali salvate nel portachiavi iCloud per accedere ai siti che la supportano.
Come funziona? Per esempio sui device di Apple, quando crei un account su un sito che usa WebAuthn, vengono chieste informazioni di base e poi viene generata una passkey salvata nel portachiavi iCloud. La passkey è una coppia di chiavi crittografiche, una pubblica e una privata che identificano il tuo account in modo univoco.
Sempre nel caso di Apple, la passkey viene condivisa tra i vostri dispositivi con lo stesso ID Apple, grazie al meccanismo delle credenziali multi-dispositivo proposto da FIDO. In questo modo, potete accedere al sito da qualsiasi dispositivo con la vostra impronta digitale o il blocco schermo.
Perché sarebbe un autenticazione più sicura? La nuova forma di autenticazione è più sicura delle password perché è legata solo a un sito specifico e non può essere letta da nessuno. Inoltre, la firma digitale che viene inviata al sito, cambia a seconda dell’origine e non può essere usata da siti fake per rubare le credenziali.
Al di la di questo paragrafo introduttivo, vediamo concretamente come funzionano le passkey e come si usano su Android e iPhone.
Come usare passkey per accedere a Google su Android
Con una passkey puoi accedere al tuo Account Google usando la tua impronta, la scansione del volto o il blocco schermo del dispositivo, ad esempio un PIN. Come detto, le passkey offrono la protezione più efficace contro minacce come il phishing. Per capire come funzionano le passkey su Android e iniziarle a usarle, devi attivare le seguenti funzionalità: il blocco schermo e il bluetooth.
Ecco come abilitare e usare le passkey su Android:
- visita la pagina Passkey di Google e accedi con le tue credenziali;
- fai clic sul pulsante “Usa passkey“;
- verrà creata una passkey e salvata sul dispositivo.
Quando si dovrà accedere a Google o ai siti e servizi che utilizzano un account di Google basterà premere su “Accedi con passkey” e utilizzare lo sblocco dello schermo.
E’ possibile osservare che su Android, l’uso delle passkey, anche per la prima volta, è molto semplice e lineare.
Come abilitare le passkey su iOS
Questa procedura può sembrare lunga ma in realtà è più laboriosa da descrivere che da eseguire. Inoltre, va effettuata solo la prima volta.
Le passkey di Apple, introdotte con iOS 16, consentono di generare e utilizzare password sicure senza doverle memorizzare. Prima di poterle utilizzare, è necessario attivarle sul tuo dispositivo. Ecco le indicazioni su come procedere.
Assicurati di avere almeno iOS 16 installato sul tuo iPhone. Puoi verificare questo accedendo a “Impostazioni”, poi premendo su “Generali”, facendo un tap sulla voce “Info” e guardando sotto “Versione software”.
Nota: Se non hai almeno iOS 16, puoi aggiornare il tuo dispositivo in modo semplice andando alla voce “Aggiornamento” – la trovi andando in “Impostazioni” e poi su “Generali” – e seguendo le semplici istruzioni fornite.
Dopo l’aggiornamento, devi abilitare l’autenticazione iCloud, se non l’hai già fatto. Questa funzionalità ti permette di accedere ai tuoi dati e dispositivi utilizzando l’ID Apple e una password o un codice; la prima volta che salvi una passkey, ti sarà richiesto di attivare l’autenticazione con iCloud automaticamente.
E’ necessario anche attivare l’autenticazione a due fattori.
Nota: Se hai creato l’Apple ID da pochi anni, sarà già abilitato. In caso contrario, l’abilitazione è davvero semplice: ti basta aprire le “Impostazioni”, premere sul tuo nome, andare alla voce “Password e sicurezza” e infine sulla voce “Attiva l’autenticazione a due fattori”, quindi segui le istruzioni.
Come funzionano le passkey su iOS
Utilizzare le passkey è davvero semplice e immediato ecco come muoversi.
Per generare una passkey per un nuovo account:
- visita il sito web o apri l’app che intendi utilizzare, e raggiungi la pagina di registrazione;
- digita quindi il nome account desiderato e seleziona “Crea account”;
- a questo punto, ti verrà proposto di utilizzare una passkey per accedere. Seleziona nella finestra di dialogo la voce “Usa passkey“;
- quindi, ti sarà richiesto di verificare la tua identità attraverso Face ID o Touch ID. Usa il tuo dito sul sensore o guarda il tuo iPhone;
- da questo momento la tua passkey sarà creata e archiviata nel portachiavi iCloud. Una schermata di conferma ti informerà del successo dell’operazione.
Per accedere a un account con una passkey:
- visita il sito web o apri l’app che intendi utilizzare e raggiungi la pagina di accesso;
- inserisci il nome account e la password e seleziona “Accedi”;
- ti sarà proposto di sostituire la password con una passkey per l’accesso. Seleziona quindi nella finestra di dialogo “sostituisci password con passkey“;
- ti sarà chiesto di digitare la password attuale per tale account e di verificare la tua identità attraverso Face ID o Touch ID.
- la tua password verrà sostituita con una passkey e archiviata nel portachiavi iCloud. Una schermata di conferma ti informerà del successo dell’operazione.
Per gestire le tue passkey: vai su “Impostazioni” poi su “Password” e infine su “Passkey.” Qui potrai visualizzare le passkey salvate, eliminarle, modificarle o condividerle con altri dispositivi tramite AirDrop.
Quali siti hanno l’accesso tramite passkey
La lista dei siti e servizi che permettono l’accesso tramite passkey è in continua espansione. Ecco quelli di cui siamo venuti a conoscenza al momento della stesura dell’articolo:
- Apple
- KAYAK
- AOL
- Best Buy
- Dropbox
- Github
- Godaddy
- ID.me
- Microsoft
Per tutti gli altri siti che usano password tradizionali, ti consigliamo un gestore di password che aiuta a mantenere alto il livello di sicurezza; trovi tutte le informazioni nel nostro articolo sui migliori password manager.