I sistemi di autenticazione basati su password devono essere ripensati e aggiornati. Il progetto Passkeys offre autenticazione più sicura e resistente al phishing
L’uso moderno della password in informatica nasce all’inizio degli anni 60, quando sono introdotti i primi account utente protetti da password. Sessant’anni dopo, dobbiamo renderci conto che probabilmente le password non sono il metodo migliore per proteggere i dati e gli account. Non perché sia intrinsecamente sbagliato il concetto di “password”, ma molto più semplicemente perché le persone non le sanno usare, per pigrizia, disattenzione o scarsa consapevolezza.
Quindi è il momento di porsi alcune domande: le password sono importanti? E sono veramente necessarie? La prima domanda ha una risposta ovvia: sono importanti, perché è noto che oltre l’80% delle violazioni degli account vengono realizzate a causa di password rubate e/o password deboli. La seconda domanda ci permette di ampliare l’orizzonte “oltre le password”. All’inizio le password rappresentano l’unica soluzione possibile, oggi con l’evoluzione degli smartphone, della biometria e della crittografia asimmetrica possiamo pensare a un radicale cambio di paradigma. E migrare verso un mondo senza più le password, un mondo “passwordless”.
Questa soluzione esiste già e si chiama Passkeys. Il progetto Passkeys viene presentato il cinque maggio 2022 al World Password Day. Ad annunciarlo Apple, Microsoft e Google, assieme alla FIDO Alliance, nel cui ambito viene sviluppato. Questa funzionalità consente a siti web e app di offrire agli utenti una modalità di autenticazione senza password, sicura e semplice.
Passkeys utilizza un autenticatore FIDO (che in genere è il nostro smartphone, oppure il computer). L’autenticazione passwordless combina biometria e crittografia asimmetrica (implementata sull’autenticatore FIDO) che genera una coppia di chiavi (pubblica e privata). Con questa tecnica, l’autenticatore FIDO (sbloccato e attivato tramine la biometria) scambia una chiave pubblica con il sito nel quale si vuole fare l’autenticazione.
Il sistema Passkeys elimina quindi completamente la necessità di creare (e dover ricordare!) una password.Quindi è pratico e anche sicuro perché realizza un’autenticazione forte, equiparabile a una MFA (Multi-Factor Authentication). Intervengono cioè due fattori: una cosa che hai (lo smartphone oppure il computer) e una cosa che sei (lo sblocco con la biometria).
Passkeys non richiede l’installazione di software o applicazioni dedicate: Apple, Microsoft e Google lo hanno già implementato nativamente nei loro sistemi operativi: quindi la funzionalità è già presente in iOS e Android, così come in Windows e macOS. Serve semplicemente aver aggiornato tali sistemi operativi.
L’attivazione dell’autenticazione con Passkeys non è complicata: se il sito la supporta già (ormai tutti i siti più noti lo fanno) ci segnala – in fase di autenticazione – la possibilità di sceglierla, in sostituzione della password. L’utente deve seguire le istruzioni che il sito indica e abbinare l’autenticatore FIDO che intende utilizzare e che può essere lo smartphone, il computer o anche una chiavetta FIDO. Questa operazione di registrazione va effettuata una volta sola per ogni sito.
Successivamente, è possibile fare il login con Passkeys: quando entriamo nel sito con username, il sito “ricorda” che abbiamo attivato Passkeys e invia la notifica push all’autenticatore scelto nella fase di registrazione. Sull’autenticatore (per esempio, lo smartphone) compare la richiesta di sbloccarlo con riconoscimento biometrico. Una volta sbloccato, il dispositivo autenticatore firma la challenge ricevuta dal sito utilizzando la chiave privata associata all’account. Il server verifica quindi l’autenticazione tramite la chiave pubblica registrata.
Giorgio Sbaraglia Information & Cybersecurity advisor Comitato Direttivo Clusit
