Recentemente Microsoft ha annunciato che per tutti i nuovi account creati nel suo ecosistema gli accessi non saranno più gestiti da Password, ma da Passkey, ovvero da chiavi di accesso basate sullo standard FIDO2, una scelta già presente nei sistemi di autenticazione di colossi quali Google o Apple.
Cos’è FIDO2?
FIDO(Fast Identity Online)2 è uno standard di autenticazione prodotto dalla FIDO Alliance , un’associazione di oltre 250 imprese fondata più di 10 anni fa, con lo scopo di ridurre la dipendenza globale dalle password, favorendo lo sviluppo di sistemi di autenticazione più sicuri e semplici da utilizzare.
Nel corso degli anni, FIDO Alliance ha pubblicato tre set di specifiche per l’autenticazione utente: FIDO Universal Second Factor (FIDO U2F), FIDO Universal Authentication Framework (FIDO UAF) e FIDO2, che include la specifica Web Authentication (WebAuthn) del W3C e il protocollo FIDO Client to Authenticator Protocol (CTAP).
Come funziona l’autenticazione con Passkey?
Quando un utente si registra con un dispositivo ad un servizio on line che ha implementato il protocollo FIDO2, l’autenticatore FIDO (che può essere il gestore delle password predefinito nel sistema operativo o un software specifico o anche una chiave di sicurezza fisica) crea una coppia di chiavi crittografiche univoche per quell’account, quel dispositivo e quello specifico servizio on line, una pubblica e una privata. Il gestore delle password nel dispositivo conserva la chiave privata, mentre la chiave pubblica viene inviata al servizio online e associata all’account dell’utente.
Ogni futuro accesso al servizio on line sarà possibile solo quando le due chiavi, pubblica e privata, saranno correttamente accoppiate.
Tecnicamente quando l’utente tenterà l’accesso al servizio on line il server invierà una richiesta all’autenticatore FIDO, che la firmerà utilizzando la chiave privata appropriata, dopo essersi assicurato che l’utente approvi l’accesso sbloccando il dispositivo. La firma verrà restituita al server, che la verificherà con la chiave pubblica in suo possesso. Se l’accoppiamento risulterà corretto, l’utente potrà accedere al servizio.
Quali sono i vantaggi?
Eliminazione delle password
In primo luogo, questo sistema elimina l’uso delle Password e quindi il rischio che queste possano essere rubate o intercettate. Inoltre molti studi evidenziano come la gestione delle password da parte degli utenti sia ancora poco attenta: la stessa password viene utilizzata in diverse applicazioni, che diventano tutte a rischio in caso di perdita di una sola credenziale di accesso. Un’altra vulnerabilità è legata al fatto che troppo spesso le password create dagli utenti sono deboli o basate su informazioni personali che gli hacker possono facilmente reperire con sistemi di social engineering
Maggiore controllo
La chiave privata resta sempre sul dispositivo dell’utente, rendendo quindi più difficile un attacco. Questo non solo nel caso in cui si utilizzi un token hardware, ma anche utilizzando il proprio smartphone, poiché i dati biometrici o i blocca schermo non lasciano mai il dispositivo, quindi non sono mai esposti a terzi.
Privacy
Poiché viene creata una chiave specifica per ogni servizio on line, le credenziali non possono essere usate per tracciare l’utente nei suoi spostamenti tra i vari siti web.
Semplicità d’uso
Quando l’utente installa il gestore password su un nuovo dispositivo, le sue chiavi private vengono sincronizzate con il nuovo dispositivo. Questo consente all’utente di accedere ai propri servizi online dal nuovo dispositivo.
Se l’utente utilizza una chiave di sicurezza per memorizzare la propria passkey, la chiave privata non viene sincronizzata, ma rimane su quel particolare dispositivo. Per utilizzare una chiave di sicurezza con un nuovo dispositivo, l’utente può toccarla o collegarla al nuovo dispositivo.
Sicurezza
L’utilizzo di due distinte chiavi crittografate e univoche, una pubblica e una privata fa sì che il servizio online non disponga dell’equivalente di un hash della password, che può essere rubato dal server e violato da un aggressore per ricavare la password. Il servizio online vede solo le chiavi pubbliche e le firme del dispositivo dell’utente e, secondo i principi matematici della crittografia, non è computazionalmente fattibile estrarre la chiave privata da quella pubblica.
Una questione culturale
Le soluzioni tecnologiche come l’adozione di passkey sono un grande passo avanti nella protezione dei dati e delle infrastrutture informatiche, ma il fattore umano resta ancora il principale, per lo più involontario, veicolo per gli attacchi hacker.
Il 2025 Data Breach Investigations Report di Verizon evidenzia come il coinvolgimento umano abbia un’incidenza del 60% nel totale delle violazioni alla sicurezza. Nello specifico, nel 32% dei casi si tratta di abuso delle credenziali di accesso, e nel 23% dei casi di attività legate al Social engineering.
Il coinvolgimento di tutte le risorse nella creazione di una cultura della sicurezza deve essere una priorità negli ambienti di lavoro, ma anche nelle scuole, nelle organizzazioni, nella vita di tutti i giorni. Le connessioni che i nostri sempre-presenti dispositivi ci offrono come grandissime opportunità, possono nascondere insidie e minacce alla sicurezza.
Fondamentale è lavorare sulla consapevolezza dei rischi, sulla conoscenza delle misure e delle tecnologie utili a mitigarli, sul coinvolgimento emotivo, che permetta di bilanciare un sano scetticismo (zero-trust) con un uso corretto ed efficace degli strumenti che la tecnologia mette a nostra disposizione.