Cyber Bulletin settembre: Sono le Passkeys la ‘chiave’ di volta?

Immaginate un futuro più semplice ed immediato, un futuro in cui i login non richiedano, necessariamente, una password. Sembra un futuro un po’ lontano, uno di quei futuri troppo belli per essere veri, no? 

Ebbene, sembrerebbe invece che quel futuro sia più vicino di quanto non si pensi o, per lo meno, che ci si stia incamminando sulla giusta strada. I primi passi cominciavano già a muoversi, oramai dieci anni fa -nel luglio 2012- e fa quasi impressione a scriverlo, con la creazione della FIDO (Fast IDentity Online) Alliance, un’associazione volta a colmare le lacune di interoperabilità tra le tecnologie di autenticazione forte e a snellire i problemi intrinsechi nel dover creare, e poi ricordare, più nomi utente e password quando ci si autentica ai servizi online. La FIDO Alliance ha anche provveduto a creare e pubblicare tre serie di specifiche per un’autenticazione utente più semplice, più sicura e maggiormente resistente ai tentativi di phishing: il FIDO Universal Second Factor (FIDO U2F), il FIDO Universal Authentication Framework (FIDO UAF) ed il Client to Authenticator Protocols (CTAP). Quest’ultimo, il CTAP, è complementare alla specifica Web Authentication (WebAuthn) del W3C (World Wide Web Consortium) ed, insieme, sono conosciuti come FIDO2. 

A fare da apripista, oggi, è la Apple: il nuovo lancio di iOS16 e del macOS Ventura promette infatti di facilitare la vita a milioni di utenti, introducendo una funzionalità di “passkeys” per iPhone, iPad e Mac e permettendo dunque di accedere ad applicazioni e siti web e di gestire i propri account senza utilizzare delle password. Ma cosa sono, e come funzionano queste passkeys? 

Le passkeys di Apple si basano proprio sulla Web Authentication API (WebAuthn), sviluppata dalla FIDO Alliance e dal World Wide Web Consortium (WC30 ed utilizzano la crittografia a chiave pubblica per garantire la sicurezza degli account. Va da sé, dunque, che una passkey non sia qualcosa che possa essere facilmente digitata. O, per meglio comprendere, potremmo definire le passkeys quale tipologia di credenziale basata sulle cosiddette “tecniche crittografiche”: sfruttando infatti le funzioni biometriche (quali ad esempio Touch ID, Face ID) integrate nei dispositivi Apple, le passkeys consentono dunque di mantenere, con buona ragionevolezza, sicuri i propri account online. Quindi, in buona sostanza, le passkeys utilizzano il dispositivo in sé (sia esso un cellulare, un tablet o un pc) per garantire che a svolgere le funzionalità di login sia il legittimo proprietario dell’account, anziché doversi affidare ancora alla tradizionale combinazione ‘nome utente-password’. 

Quando una passkey viene creata e collegata ad un account, il sistema operativo del Mac genera in automatico una coppia di chiavi digitali correlate in maniera univoca ed in tutta sicurezza, come confermato da Garrett Davidson, ingegnere del team di autenticazione della Apple. Una delle chiavi è pubblica e viene conservata sui server di Apple, mentre l’altra è segreta e rimane sempre sul proprio dispositivo. E come ulteriormente assicurato da Davidson, “Il server non viene mai a conoscenza della chiave privata ed i dispositivi la custodiscono al sicuro”. Quando si effettua poi l’accesso a uno dei propri account utilizzando una passkey, il server dell’applicazione o del sito Web invia al dispositivo una richiesta di “prova”, domandando in sostanza al dispositivo di dimostrare che la richiesta sia legittima ed effettuata dal legittimo proprietario. La chiave privata, quella che rimane memorizzata sul dispositivo, è in grado di soddisfare la richiesta inviando una sua risposta. La risposta inviata viene quindi convalidata dalla chiave pubblica e l’utente può effettuare l’accesso. “Questo significa che il server può essere sicuro che la chiave privata sia quella giusta, senza sapere quale sia la chiave privata”, ha aggiunto Davidson. 

Diventa immediato intuire quindi quanto le passkeys siano la risposta Apple agli standard creati dalla FIDO Alliance (definiti “credenziali FIDO multi dispositivo”) per far sì che poi le stesse possano funzionare anche con sistemi diversi come Microsoft, Google, Amazon e così via. Cosa succede ora se si dispone già di un account su determinati servizi? Ebbene, in quel caso è probabile che sia necessario effettuare prima un accesso all’account esistente, utilizzando la password, per poi creare una passkey e poter procedere da quel momento in poi senza password (previo aggiornamento dei dispositivi al nuovo sistema operativo, occorre ricordare). Nel caso, invece, in cui sia nuovi utenti di un sito web o di un’applicazione, è possibile creare una passkey da subito: in fase di creazione dell’account, apparirà un riquadro in cui sarà chiesto se si desideri “salvare una chiave di accesso” per l’account in uso, ed in caso affermativo il dispositivo proporrà l’utilizzo di Touch ID, Face ID o di un altro metodo di autenticazione per poter generare la passkey. 

Tutte le passkeys create potranno inoltre essere memorizzate nel Portachiavi di iCloud e sarà possibile sincronizzarle su più dispositivi rendendo, di fatto, gli accessi disponibili su iPad e MacBook senza bisogno di ulteriori passaggi. Sarà inoltre possibile utilizzare le passkeys sia nel browser Safari di Apple, che sui suoi dispositivi e potranno essere condivise con i dispositivi Apple vicini utilizzando AirDrop. Qualora invece si voglia accedere ad un account utilizzando un computer Windows, bisognerà procedere in maniera leggermente differente, poiché il dispositivo non avrà in memoria le chiavi di accesso. Se invece si volesse effettuare un accesso via Google Chrome, sarà necessario utilizzare un codice QR, che contiene un URL che include le chiavi di crittografia monouso, ed il proprio iPhone per accedere. Scansionato il QR, telefono e computer potranno poi comunicare attraverso una rete crittografata end-to-end via Bluetooth e potranno agilmente condividere le informazioni. “Ciò significa che un codice QR inviato in una email o generato su un sito Web falso non funzionerà, perché un aggressore remoto non sarà in grado di ricevere l’annuncio Bluetooth e completare lo scambio locale”, ha dichiarato Davidson. 

Ci si muove dunque nella direzione giusta (anche se, inevitabilmente, ci sarà bisogno di un periodo di assestamento, essendo le passkeys un concetto in divenire) e si aprono diversi orizzonti di espansione: altre aziende, oltre Apple, fanno già sapere di essere in fase di lancio della propria tecnologia passkey, come ad esempio Google che ha tra i suoi obiettivi quello di “rendere disponibile il supporto per le chiavi d’accesso per gli sviluppatori Android verso la fine del 2022″. Microsoft, invece, tiene a puntualizzare come utilizzi già da qualche anno sistemi di login che non prevedano l’utilizzo di password e rassicura che “in un futuro prossimo” renderà possibile gli accessi ad account Microsoft utilizzando una passkey da un dispositivo Google o Apple. Anche Dashlane, gestore di password, ha infine annunciato il proprio supporto alle passkeys, considerandole di fatto una “soluzione indipendente ed universale, indipendente dal dispositivo o dalla piattaforma”.

Perché Deda?

Etica – Crediamo nell’approccio multicloud e nella cultura del dato.

• Innovazione – Lavoriamo con i vendor alla creazione di nuovi servizi utili al mercato.

Made in Italy – I data center sono su territorio italiano, l’ideale in termini di compliance e responsabilità.

Vuoi saperne di più?

Iniziamo a conoscerci, siamo pronti ad aiutarti.

Siamo pronti ad ascoltarti...

Ciao, vieni a scoprire alcune delle nostre facce, siamo esploratori visionari ascoltatori trasparenti vicini determinati coraggiosi scattanti