#82 Passkey - Come funzionano? Quali sono i vantaggi?
Parliamo del futuro dell'autenticazione che sostituirà le password
👋🏻 Ciao!
Benvenuti nel 82° episodio di WriTech
Le passkey sostituiranno le password e saranno il futuro del web.
Ci permetteranno di fare login in modo molto più comodo ma allo stesso tempo più sicuro!
Scopriamo tutto!
Cosa Sono?
Per capire in cosa consiste una passkey dobbiamo comprendere l’obiettivo di chi le ha ideate.
La FIDO Alliance è un’associazione con vari big del mondo di internet (Google, Microsoft, Meta, Amazon, Apple, Intel, Samsung, TikTok e molti altri) che ha come obiettivo:
Promuovere standard di autenticazione che contribuiscono a ridurre l'eccessiva dipendenza del mondo dalle password
Insomma, esattamente ciò che sono le passkey: una nuova tecnologia che sostituirà il concetto di password.
Il tutto con livelli di sicurezza decisamente alti; FIDO2 è proprio l’insieme delle rigide regole che regolano tutti i procedimenti di comunicazione tra client, server e dispositivo autenticatore.
Quest’ultimo elemento della catena è relativamente nuovo rispetto a ciò a cui siamo abituati ora. Ne abbiamo sentito parlare per l’autenticazione a 2 fattori (il telefono su cui riceviamo SMS/OTP, un token) ma ora diventerà ancora più centrale.
Le passkey si basano su due chiavi, una pubblica e l’altra privata.
Quella pubblica si trova nei server del servizio mentre quella privata proprio nel nostro dispositivo autenticatore (telefono, computer, token USB).
Un dato crittografato con la chiave pubblica, ovvero il nostro profilo del social, può essere sbloccato solo con la chiave privata, che è contenuta nel nostro dispositivo.
Un concetto estremamente “banale” e semplice che a livello tecnico è più complesso richiedendo, ma allo stesso tempo garantendo, maggiore sicurezza.
Come funzionano?
Ok, molto bella la spiegazione teorica; ma nella pratica come funzionano? Cosa dobbiamo fare noi?
Bhè molto semplicemente quando inseriamo l’username nel sito ci verrà chiesto PIN o Biometria (impronta o viso) per sbloccare la chiave privata nel nostro dispositivo e comunicarla al sito; poichè questa è capace di de-criptare il contenuto criptato con la chiave pubblica riusciremo a fare il login.
Voilà!
Ovviamente funziona anche se la passkey non è salvata sul dispositivo su cui stiamo effettuando il login, ad esempio un computer. In questo caso ci arriverà una notifica sul dispositivo autenticatore che, a seguito dell’inserimento di PIN o biometria, confermerà la nostra identità al server.
Ah, ovviamente scompare il concetto di autenticazione a due fattori perchè la passkey stessa va a certificare che siamo proprio noi.
In realtà ad oggi sotto certi aspetti possono risultare scomode perchè non viene proposto come primo metodo di accesso bensì come “alternativa” alla password.
Ma ci arriviamo tra poco
Chi le supporta?
Ovviamente sia client, server e dispositivo autenticatore devono supportare questa tecnologia.
Client
: possiamo tralasciarli poichè praticamente tutti i browser/dispositivi supportano la tecnologia.
Server
: la maggioranza dei “big” supportano già ad oggi le passkey. Pian piano stanno arrivando anche servizi più piccoli, soprattutto strettamente legati al mondo dell’informatica.
Qui trovate l’elenco completo
Dispositivo:
anche qui siamo messi decisamente bene, infatti è possibile salvare una la chiave privata su un computer con Windows 11, su Android (9+) nell’account Google o su un iPhone (IOS 16+) in iCloud.
Inoltre ci sono anche servizi terzi, ad esempio i gestori di password: Bitwarden (ad oggi solo su pc), 1Password o Dashlane possono fungere da contenitori per la chiave privata.
Essendo che la chiave privata è legata al dispositivo, nel caso dovessimo perderlo o sostituirlo dobbiamo eliminare la vecchia passkey e generarne una nuova.
Tuttavia Google consente di trasferire le chiavi tra più dispositivi via cloud rendendo tutto molto più pratico.
I Vantaggi
Come detto sopra, ad oggi le passkey non vengono ancora usate come metodo di accesso principale. Viene sempre chiesta la password e solo “manualmente” si può selezionare l’uso della passkey.
Tuttavia hanno già un’utilità: possiamo impostare una password estremamente complessa, in modo che eventuali hacker difficilmente la scoprano, ma accedere in modo semplice proprio grazie alla passkey.
In realtà questa rapidità la si potrebbe avere anche con un gestore password…
Tralasciando l’oggi, vediamo quali sono i vantaggi per il futuro:
Essendoci un’identificazione certa del server a cui si sta accedendo e della persona (il dispositivo) diventerà praticamente impossibile per noi cascare in tentativi di phishing e per gli hacker rubarci le credenziali (come fai a rubare qualcosa che sta nel mio telefono protetto dal mio dito?)
Ci saranno poi meno data breach; anche se un hacker rubasse la chiave pubblica non se ne farebbe nulla, se invece oggi trovasse la nostra password farebbe molto.
Più in generale quindi i password manager scompariranno, o meglio, saranno obbligati a convertirsi in passkey manager.
🗂️ Cose Interessanti
Upscayl è un potentissimo programma (gratuito) per aumentare la risoluzione, e quindi la qualità visiva, di un’immagine
Su MagickImg trovate un sacco di piccoli tool per le immagini, tutti basati su Intelligenza Artificiale. Si può togliere lo sfondo, trasformarle in emoji, convertirle a colori o generarne da zero.
Notion ha lanciato un calendario, perfettamente integrato con tutti i suoi database ma anche con Google Calendar
Rivoluzione in Apple! Arriveranno gli store di terze parti, i pagamenti in-app non più vincolati all’App Store e la possibilità di usare app terze per pagare con NFC. Inoltre, i browser non saranno più vincolati alle tecnologie Apple.
Molte aperture che saranno in vigore solo in Unione Europea, proprio per volontà di questo ente.Il passaggio ufficiale al DVB-T2 della RAI è slittato al 1 settembre
Grazie per essere arrivati fino a qui, spero che abbiate apprezzato questo post.
A presto 👋🏻