Passkeys al posto della frustrazione della password

Le password sono la principale fonte di frustrazione quando si accede online. Secondo un recente studio commissionato da Okta, il 65% dei consumatori si sente sopraffatto dalla gestione di innumerevoli combinazioni di username e password. Il 75% desidera un maggiore controllo e un'autogestione dei propri dati personali. Le richieste di rinnovo delle password e gli elevati requisiti di lunghezza e complessità aumentano la frustrazione. La via d'uscita più popolare per gli utenti, secondo l'indagine di Okta, è l'accesso tramite account social.

Da un lato, ciò crea il pericolo che i grandi provider possano espandere ulteriormente i quasi-monopoli esistenti nella rete, dall'altro, un account di questo tipo diventa una sorta di chiave principale per le più svariate applicazioni online di un utente. Se i criminali entrano in possesso di queste credenziali, possono causare molti danni. I passkeys sono un'opzione alternativa, comoda per gli utenti ma comunque molto sicura.

Cosa sono i passepartout?

In generale, si tratta di un metodo di autenticazione senza password. Invece di un segreto condiviso tra il servizio e l'utente, che è ciò che rappresenta la password, si utilizza la crittografia asimmetrica. L'utente conserva una chiave privata sul proprio dispositivo personale e il fornitore del servizio riceve la chiave pubblica corrispondente come parte del processo di registrazione di un nuovo account. L'autenticazione procede ora in modo tale che l'utente riceva dal fornitore un pacchetto di dati, la cosiddetta sfida, da firmare. Questo viene firmato automaticamente con la chiave privata dell'utente. Se il provider è in grado di decifrarlo a sua volta, significa che la coppia di chiavi è compatibile e l'utente è quindi autenticato.

I passepartout hanno molti vantaggi

Il vantaggio più evidente è che per gli utenti la soluzione è molto più semplice e comoda delle password. Tutti i processi vengono eseguiti automaticamente in background e gli utenti non devono attivarsi in prima persona. Non devono più digitare password e nomi utente e, di conseguenza, non devono più ricordare le password e ripensarle regolarmente. Questo semplifica enormemente le procedure di accesso in rete. I passkeys presentano quindi un vantaggio anche per i provider online. Finora, infatti, molti utenti sono stati scoraggiati dalla costante creazione di nuovi account utente con nuove password. Per coloro che non vogliono utilizzare gestori di password o accedere con Google e simili, i Passkeys offrono un'alternativa semplice e molto sicura.

Inoltre, la mancanza di un segreto condiviso significa anche che, in caso di attacco al server del provider, non possono essere catturate password di valore, ma solo chiavi pubbliche senza valore. La connessione tra la chiave pubblica e quella privata viene stabilita attraverso complesse domande matematiche difficili da invertire. La complessità è talmente elevata che anche con computer potenti non è possibile calcolare una chiave privata da una chiave pubblica in tempo reale. Infine, ma non per questo meno importante, i passkey sono la migliore protezione contro il phishing. I criminali non hanno nulla da guadagnare. Dopo tutto, i loro attacchi mirano a catturare il segreto condiviso, che viene omesso quando si utilizzano le passkey.

Problemi di praticità

In teoria, il processo sembra molto plausibile. Ma se si pensa al suo utilizzo nella vita quotidiana, sorgono subito delle domande. Ad esempio, con un nome utente e una password è possibile accedere al proprio account di posta elettronica da qualsiasi internet café del mondo. Resta da vedere se questo sia consigliabile dal punto di vista della sicurezza, ma è possibile senza problemi. Ciò non è possibile allo stesso modo con una procedura legata al dispositivo, come le passkeys. Ma c'è una soluzione abbastanza semplice: basta utilizzare uno smartphone come archivio centrale per le chiavi. Naturalmente, questo deve essere dotato di forti meccanismi di sicurezza, come un sensore di impronte digitali o altre caratteristiche biometriche. L'autenticazione su qualsiasi dispositivo funziona quindi con la scansione da parte dell'utente di un codice QR dallo schermo del dispositivo al momento dell'accesso, sbloccandolo e innescando così il processo delle chiavi.

Naturalmente, i telefoni cellulari possono essere smarriti, rubati o distrutti. In questo caso, sono necessarie procedure di recupero, oppure deve essere possibile reimpostare l'account. Questo può avvenire, ad esempio, tramite un altro account, come avviene oggi quando si dimentica una password. Google e Apple hanno predisposto meccanismi di sincronizzazione dei loro sistemi che mantengono tutti gli smartphone e i tablet sincronizzati con le chiavi da utilizzare, senza che Google o Apple ne entrino in possesso. La chiave privata rimane sempre sul dispositivo.

Il legame tra identità reale e digitale

Oggi, quasi ovunque in rete si creino nuovi account, viene creata una nuova identità digitale che non è legata alla vera identità dell'utente. Tecnicamente, è ovviamente possibile trarre conclusioni su chi si cela dietro un certo nome utente. Tuttavia, di solito in rete non avviene un collegamento iniziale tra identità reale e digitale. In alcuni casi, tuttavia, è proprio quello che serve, ad esempio quando si apre un conto bancario online o si utilizza la firma elettronica qualificata. Anche in questo caso si possono usare i passepartout?

In linea di principio sì, perché la procedura di autenticazione non svolge alcun ruolo a livello tecnico per questo collegamento. In questi casi, i fornitori, come le banche o i fornitori di servizi fiduciari, devono verificare l'identità dei nuovi utenti in base a determinate procedure regolamentate per legge e creare un record digitale sicuro collegato a questo. Quale procedura (password + autenticazione a più fattori o passkey) gli utenti utilizzino poi per accedere al servizio o rilasciare una firma è irrilevante. Questo per quanto riguarda la teoria. Swisscom Trust Services ha già approvato questa procedura per l'utilizzo delle sue firme e la sta già utilizzando con il primo partner. Per attivare la chiave d'accesso è sufficiente un'impronta digitale, un riconoscimento facciale o un PIN, che viene utilizzato anche per sbloccare uno smartphone o un PC.

L'uso di chiavi d'accesso sarebbe interessante, ad esempio, per attivare le firme in ambienti in cui i telefoni cellulari sono vietati per motivi di sicurezza dei dati o gli SMS non possono essere consegnati. Nei metodi comuni di oggi, il telefono cellulare viene utilizzato come secondo fattore per attivare la firma. Questo metodo è quindi problematico in aree critiche come centri dati altamente sicuri, impianti di produzione schermati o ambienti simili. Con le passkey che si trovano direttamente sui dispositivi o su supporti di dati separati (ad es. chiavetta USB), gli utenti possono firmare anche lì in modo qualificato.

Autore: Ingolf Rauh, Responsabile Gestione prodotti e innovazione di Swisscom Trust Services