E-time | the software company
Le Passkey sono l’alternativa alle password e sanciscono definitivamente il passaggio ad un nuovo capitolo della Cyber security questa volta però, Passwordless.
Nonostante i sistemi di autenticazione fino ad ora si siano basati sulle password, nel tempo è diventato chiaro che se da una parte è vero che esse rappresentano una chiave di sicurezza, allo stesso tempo costituiscono anche l’anello debole in tema di sicurezza degli account a causa della loro esposizione agli attacchi di Phishing.
Passkey è un metodo di autenticazione sicuro che si basa su un sistema di riconoscimento (impronta digitale, volto, PIN, sequenza), generato e memorizzato localmente sui dispositivi degli utenti.
Durante il processo di registrazione vengono create due chiavi, una pubblica e una privata che viene cifrata e memorizzata in modo sicuro sul dispositivo dell’utente. Per l’accesso all’account sono necessarie entrambe le chiavi. Questo meccanismo prende il nome di Autenticazione asimmetrica o a chiave pubblica.
Passkey adotta lo Standard WebAuthn o meglio, aderisce e implementa le specifiche tecniche fornite da FIDO2, che includono WebAuthn e CTAP (Client to Authenticator Protocol).
Lo Standard WebAuthn
WebAuthn o Web Authentication è lo standard aperto (framework FIDO2) voluto da FIDO Alliance e World Wide Web Consortium (W3C) con la partecipazione di Google, Mozilla, Microsoft e altri Big, su cui si basano le Passkey.
L’API WebAuthn consente ai server di registrare e autenticare gli utenti utilizzando la crittografia a chiave pubblica anziché una password, garantendo che l’autenticazione funzioni indipendentemente dal sistema operativo del dispositivo, sia esso Android, iOS, Mac o Windows.
Nella maggior parte dei casi il client WebAuthn che implementa l’API di autenticazione è un browser compatibile (attualmente è supportato da tutti i principali browser e dispositivi Android ed Apple).
Perchè Passkey è un'efficace misura contro il Phishing?
Passkey è efficace contro gli attacchi di phishing perché la password unica è memorizzata localmente sul dispositivo dell’utente e non viene mai trasmessa attraverso la rete.
Questo significa che anche se un utente viene indotto a fornire la sua passkey a un sito di phishing, i criminali informatici non saranno in grado di utilizzarla per accedere ai suoi account, poiché la passkey non è valida su altri dispositivi. Ciò rende molto più difficile per gli hacker compromettere l’accesso dell’utente, proteggendo così le sue informazioni personali e finanziarie.
Passkey e FIDO
La nascita di Passkey è legata a doppio filo con FIDO (Fast Identity Online), un’organizzazione che promuove standard aperti per la strong authentication. La FIDO Alliance, è composta dai principali attori del Web come Google, Microsoft e Apple.
L’obiettivo principale di FIDO è aumentare la sicurezza online utilizzando metodi di autenticazione più avanzati, come biometria e crittografia asimmetrica cercando di ridurre la dipendenza dalle password tradizionali (statiche) che indipendentemente dalla loro complessità sono troppo esposte al rischio di furto.
Gli altri metodi MFA supportati da Yookey | Keycloak SaaS
Oltre a Passkey, gli altri metodi di MFA supportati dal nostro servizio Yookey – Keycloak as A Service sono:
- Sms e email
- Virtual Authenticator (Microsoft e Google authenticator)
- Token fisici.
Desideri maggiori informazioni?
