Passkey, l’alternativa alla password: cos’è e come funziona

02.02.24 - Giorgio Perego

Le Passkey sono un sistema di autenticazione semplice e sicuro che consente all’utente di sboccare un dispositivo. In questo articolo vediamo nel dettaglio cosa sono e come funzionano.

Nell'articolo

Che cos’è una Passkey?

Si tratta di un metodo di autenticazione basate sulla Crittografia a chiava pubblica, che è un tipo di crittografica asimmetrica.
Questo tipo di autenticazione CRITTOGRAFIA ASSIMETRICA prevede l’utilizzo di due chiavi. Semplificando chiamiamole:

CHIAVE A e CHIAVE B

Questo comporta che quello che andiamo a crittografare con la CHIAVE A lo possiamo decrittografare solo con la CHIAVE B e viceversa; quello che abbiamo crittografato con la CHIAVE B, può essere decrittografato solo con la CHIAVE A.

Sicurezza delle Passkey

Il loro utilizzo offre una protezione più efficace contro le minacce più diffuse, come ad esempio il phishing. Infatti dopo aver creato una Passkey, potrai utilizzarla per accedere ad esempio al tuo account Google e ad alcune app o a servizi di terze parti.

La Passkey alza il livello della sicurezza informatica dell’utente che la utilizza, perché punta sul riconoscimento biometrico, ad oggi è disponibile per gli utenti Apple e per gli utenti Google.

Password e passkey: quali differenze?

La vera grande differenza tra password e passkey è che quest’ultima permette all’utente di autenticarsi senza utilizzare un codice alfanumerico.

L’autenticazione avviene tramite il riconoscimento biometrico, tramite il riconoscimento facciale o tramite impronta digitale.

Un’altra differenza molto importante è che la passkey è praticamente indimenticabile e inattaccabile (almeno per adesso).

Come funziona la Passkey?

Entrando un po’ nel tecnico, una passkey ricorre alla crittografia a chiave pubblica. Per un qualsiasi servizio l’utente genera due diverse chiavi digitali: una privata “la prima che rimane all’utente” e la seconda pubblica (che viene inviata al sito, all’app, al programma in questione).

La prima chiave (quella dell’utente), viene memorizzata automaticamente all’interno del dispositivo che si sta utilizzando. Non importa che sia un computer, uno smartphone o una unità USB); la chiave del servizio viene invece memorizzata direttamente sui suoi server.

Come scritto prima, le passkey vengono memorizzate all’interno del dispositivo utilizzato, il computer, lo smartphone etc…

Quando l’utente accede a un servizio dove è stata memorizzata una passkey, il sito o l’app inviano una formula matematica che è basata sulla chiave pubblica.

Il dispositivo riconosce l’utente attraverso ad esempio la scansione del volto o il rilevamento dell’impronta digitale, risolve la formula matematica prodotta così da garantire l’accesso.

I vantaggi delle Passkey

Ecco sotto i principali vantaggi relativamente all’utilizzo delle Passkey:

Chiave Pubblica e chiave Privata identificano in modo univoco il server del servizio e il dispositivo autenticatore (Il Phishign perde di importanza).
Il loro utilizzo mette al riparo dai furti di identità: nome e chiave pubblica non bastano più per accedere ad un sito o ad un servizio.
Le passkey mettono anche al riparo dai famosi attacchi Man In The Middle eseguiti su reti Wireless, perchè la chiave privata non esce mai dal dispositivo.
Sono una sicurezza rispetto ai data breach (furti di dati dai siti web e dai server compromessi) perchè sui server non vengono conservati i dati di accesso completi ma solo nome utente e chiave pubblica.