Le passkey sono un’alternativa più semplice e sicura alle password con le quali è possibile accedere ad app e siti web tramite un sensore biometrico (come un’impronta o il riconoscimento facciale), un PIN o una sequenza, evitando così di dover ricordare e gestire le password.

Sviluppatori e utenti odiano le password, che offrono un’esperienza utente non soddisfacente, aggiungono difficoltà di conversione e creano responsabilità di sicurezza sia per gli utenti che per gli sviluppatori. Per gli sviluppatori che cercano ulteriori miglioramenti in termini di conversioni e sicurezza, passkey e federazione delle identità sono gli approcci moderni del settore.

Una passkey può soddisfare i requisiti di autenticazione a più fattori in un solo passaggio, sostituendo una password e l’OTP (ad esempio codice SMS a 6 cifre) per garantire una protezione efficace dagli attacchi di phishing ed evita il problema dell’esperienza utente degli SMS o delle password uniche eseguite dall’app. Poiché le passkey sono standardizzate, un’implementazione singola consente un’esperienza senza password su tutti i dispositivi degli utenti, su browser e sistemi operativi diversi.

Quelli di seguiti sono i principali benefici delle passkey sia a livello di usabilità, sia per quanto riguarda la sicurezza.

  • Gli utenti possono selezionare un account con cui eseguire l’accesso. Non è necessario digitare il nome utente
  • Gli utenti possono eseguire l’autenticazione utilizzando il blocco schermo del dispositivo, ad esempio un sensore di impronte digitali, un riconoscimento facciale o un PIN
  • Una volta creata e registrata una passkey, l’utente può passare facilmente a un nuovo dispositivo e usarlo immediatamente senza dover registrarsi di nuovo (a differenza di un’autenticazione biometrica tradizionale, che richiede la configurazione su ogni dispositivo)
  • Gli sviluppatori salvano una chiave pubblica solo sul server anziché su una password
  • Le passkey proteggono gli utenti dagli attacchi di phishing. Le passkey funzionano solo sui loro siti web e sulle loro app registrate; un utente non può essere indotto con l’inganno ad accedere a un sito ingannevole perché il browser o il sistema operativo gestiscono la verifica.
  • Le passkey riducono i costi di invio degli SMS, rendendoli un mezzo più sicuro ed economico per l’autenticazione a due fattori

Single Sign-On

Cosa sono le passkey?

Una passkey è una credenziale digitale associata a un account utente e a un sito web o a un’applicazione. Le passkey consentono agli utenti di autenticarsi senza dover inserire nome utente o password o fornire altri fattori di autenticazione. Questa tecnologia mira a sostituire i meccanismi di autenticazione precedenti come le password.

Quando un utente vuole accedere a un servizio che utilizza passkey, il suo browser o il sistema operativo lo aiuterà a selezionare e utilizzare la passkey giusta. L’esperienza è simile al funzionamento attuale delle password salvate. Per garantire che solo il legittimo proprietario possa usare una passkey, il sistema gli chiederà di sbloccare il dispositivo. Questo può essere eseguito con un sensore biometrico (come un’impronta o il riconoscimento facciale), un PIN o una sequenza.

Come funzionano le passkey?

Le passkey sono destinate a essere utilizzate tramite l’infrastruttura del sistema operativo che consente ai gestori di creare, eseguire il backup e rendere le passkey disponibili alle applicazioni in esecuzione su tale sistema operativo. Su Android, ad esempio, le passkey possono essere archiviate nel Gestore delle password di Google, che sincronizza le passkey tra i dispositivi Android dell’utente che hanno eseguito l’accesso allo stesso Account Google. Le passkey vengono criptate in sicurezza sul dispositivo prima di essere sincronizzate e richiedono la loro decriptazione su nuovi dispositivi. Gli utenti con Android 14 o versioni successive possono scegliere di archiviare le loro passkey in un gestore delle password di terze parti compatibile.

Gli utenti, inoltre, non sono limitati a usare le passkey solo sul dispositivo su cui sono disponibili. Le passkey disponibili sugli smartphone possono infatti essere usate quando accedono a un laptop, anche se non sono sincronizzate sul laptop, purché lo smartphone sia vicino al laptop e l’utente approvi l’accesso sullo smartphone. Poiché le passkey sono basate su standard FIDO, tutti i browser possono adottarle.

La crittografia asimmetrica o a chiave pubblica, il meccanismo su cui si fonda il funzionamento delle passkey, consente di accertare efficacemente l’identità dell’utente. Il sito Web o l’app possono vedere e archiviare la chiave pubblica degli utenti mentre la corrispondente chiave privata resta segreta e conservata in sicurezza nel singolo dispositivo.

Quali dispositivi sono compatibili con le passkey?

Anche se le passkey sono ancora relativamente “nuove”, sono già compatibili con tantissimi dispositivi. Questo perché Microsoft, Google, Apple e altri big tech hanno lavorato per svilupparle utilizzando gli standard FIDO Alliance e W3C.

Con il rilascio di iOS 16 lo scorso autunno, Apple ha portato sull’iPhone le passkey, che utilizzano TouchID e FaceID per l’autenticazione invece di una password principale, il che rende le cose ancora più semplici. Di Android abbiamo già parlato, mentre se utilizzate un PC Windows è possibile utilizzare Windows Hello per accedere ai vostri account utilizzando le passkey sia su Windows 10, sia su Windows 11.

Per quanto riguarda i browser web, Chrome, Edge, Safari e Firefox attualmente supportano le passkey. Basta avere la versione 79 o superiore di Chrome/Edge, la versione 13 o superiore di Safari e la versione 60 o superiore di Firefox (qui invece trovate un elenco in continuo aggiornamento dei siti che supportano le passkey).

tecniche di attacco

Passkey e aziende

L’utilizzo delle passkey sta cominciando a vedersi anche in ambito aziendale, sebbene al momento sia ancora limitato da problemi di conformità e da un’implementazione più lenta (proprio perché deve essere più “scrupolosa”) rispetto a quanto sta accadendo a livello consumer.

Da inizio mese ad esempio gli amministratori possono ora attivare le passkey per Google Workspace (il rollout è graduale) nella console, evitando l’inserimento della password. Lo stesso è possibile per gli account di Google Cloud. Se la funzionalità non è attivata, i dipendenti aziendali possono creare e usare le passkey per l’autenticazione a due fattori.

FIDO Alliance ha inoltre pubblicato nei giorni scorsi una nuova serie di documenti volti a fornire indicazioni su come le passkey possono essere utilizzate in diversi ambienti aziendali. I documenti sono:

  • FIDO Deploying Passkeys in the Enterprise – Introduction
  • Replacing Password-Only Authentication with Passkeys in the Enterprise
  • FIDO Authentication for Moderate Assurance Use Cases
  • High Assurance Enterprise FIDO Authentication
  • Displacing Password + SMS OTP Authentication with Passkeys (atteso nel corso dell’estate)