Passkey: cos'è e come funziona

Per diversi motivi, le password rappresentano l'anello debole per la sicurezza di un account, e i giganti del web hanno istituito un'alleanza, chiamata FIDO, per promuovere soluzioni più efficaci.

Le passkey sono una risposta a questo problema, una soluzione che permette di utilizzare il riconoscimento biometrico per accedere a siti, app e servizi senza password. Apple è stata una delle prime aziende a introdurle con i nuovi iOS 16 e macOS 13, ma anche Google ha da poco implementato. Ma cosa sono esattamente e come funzionano le passkey nel 2022? Andiamo a scoprirlo, vedendo come abilitarle e come usarle, su iPhone, Android e Chrome.

• Cos'è passkey
  • Cos'è lo standard WebAuthn
  • Cosa significa passkey
  • Da non confondere con la passkey Bluetooth
• Come funziona passkey
• Passkey Android
• Come abilitare passkey su iPhone
• Come usare passkey
  
  • Come salvare passkey su iPhone
  • Come salvare passkey da un dispositivo di un'altra persona
  • Come passare a passkey da account con password
  • Come accedere a un account con la passkey da iPhone
  • Come accedere a un account con la passkey da un altro dispositivo
  • Come gestire la passkey
• Passkey Android e Chrome
• Siti e app che supportano passkey

Le password (come recuperare quella di Gmail) sono una dura necessità del Web, in quanto garantiscono l'accesso sicuro ai nostri account, ma presentano una serie di problemi.

Innanzitutto in fase di creazione (come crearne una efficace), con molti utenti che usano codici alfanumerici facile da ricordare ma anche da indovinare (ecco una lista di esempi da evitare) e poi, anche se creiamo una password lunga e complicata, a causa di attacchi come il phishing che portano a comprometterle. 

E se pensate a password manager come iCloud Keychain, proprio per i motivi sopra esposti non è la soluzione. È vero, ci evita il fastidio di ricordare le password e le inserisce al posto nostro, ma non risolve il problema alla radice.

Rivediamo quindi i problemi intrinsechi delle password:

• La creazione di una password poco sicura, facile da indovinare
• Attacchi come il phishing che permettono a malintenzionati di venire a conoscenza delle nostre password
• Archiviazione online, quindi se un servizio è violato, anche le password degli utenti lo sono. E se si utilizza la stessa password per più servizi, la frittata è fatta

L'autenticazione a due fattori (2FA) risolve gran parte di questi problemi, in quanto aggiunge un ulteriore livello di sicurezza che impedisce l'accesso non autorizzato agli account, e infatti molti servizi (come Gmail) da qualche tempo lo richiedono obbligatoriamente.

Ma il sistema non è perfetto, e utenti distratti potrebbero cadere vittima di trucchi come questo per permettere l'accesso ai loro account da parte di malintenzionati, anche con l'autenticazione a due fattori, senza contare gli attacchi di forza bruta.

Ecco quindi che la FIDO Alliance, un'associazione aperta composta da diversi giganti del Web come Apple, Microsoft, Google e molti altri per creare uno standard di autenticazione indipendente dalle password, ha pensato alle passkey. Scopriamo cosa sono.

Cos'è lo standard WebAuthn

Nel 2018, il World Wide Web Consortium (W3C), un'organizzazione dedicata alla creazione di protocolli e linee guida per lo sviluppo web a lungo termine, pubblicò WebAuthn. Questo è uno standard aperto che consente agli sviluppatori di implementare soluzioni di log-in diverse dalle parole-chiave e che permette di usare le stesse librerie per diffondere sistemi di accesso universali sicuri da attacchi come il phishing.

Lo standard WebAuthn è un componente fondamentale del progetto FIDO2 (uno sforzo congiunto tra la FIDO Alliance e il W3C per creare un'autenticazione forte per il Web), il che permette la compatibilità del sistema di autenticazione su sistemi diversi.

Implementando l'API WebAuthn, infatti, gli sviluppatori Web e i produttori di dispositivi garantiscono che l'autenticazione funzioni indipendentemente dal fatto che si sia su Android, iOS, Mac o Windows.

Cosa significa passkey

Le passkey sono entità crittografiche basate sullo standard WebAuthn non visibili agli utenti e composte da una coppia di chiavi. Una di queste è pubblica, registrata nel sito web o nell'app che state utilizzando e condivisa tra dispositivi che dispongono delle proprie chiavi private, mentre l'altra è privata ed è presente soltanto sul vostro dispositivo. 

La chiave pubblica non ha nessun valore senza quella privata, e questa non è accessibile a nessuno, neanche all'utente, che quindi non può condividerla. Questo garantisce anche che se un server viene compromesso, l'attaccante non ha entrambe le chiavi per ottenere l'accesso agli account.

Quando accedete a un servizio online, non dovete più digitare il vostro nome utente e password, ma dovete solo utilizzare le funzionalità di sicurezza biometrica del vostro dispositivo, come Face ID o Touch ID nel caso di Apple.

Inoltre, il servizio non è solo limitato all'interno del dispositivo, in quanto si possono utilizzare le passkey sul PC Windows o tablet Android. Il telefono che serve da riconoscimento diventa una vera e propria chiave che, attraverso le sue funzionalità biometriche, consente di accedere a un sito Web (che deve implementare l'API WebAuthn), anche se accedete da apparecchi terzi.

Apple ha implementato la sua versione con iOS 16 e macOS 13, ma anche Google non è stata a guardare e ha introdotto la sua versione per Android e Chrome. Vediamo le caratteristiche delle passkey, di Apple e in generale:

• Offrono una protezione efficace che non potrà mai essere indovinata da un hacker.
• Sono collegate soltanto al sito web o all'app per cui sono state create, dunque proteggono gli utenti dalla possibilità di utilizzare le passkey per accedere a siti web o app fraudolenti.
• Sono salvate
  • Per Apple sul portachiavi iCloud, quindi sono disponibili su tutti gli altri dispositivi ai quali avete effettuato l'accesso con l'ID Apple (richiesti iOS 16, iPadOS 16, macOS Ventura o tvOS 16)
  • Per Android/Chrome in Google Password Manager
• Le passkey sono protette dalla crittografia end-to-end sul portachiavi iCloud e Google Password Manager e nessuno, neanche Apple o Google, può leggerle
• La chiave privata non abbandona mai il vostro dispositivo, impedendo in questo modo fughe di dati da siti web o app.
• Non devono essere create, salvate o ricordate
• Per i dispositivi Apple, possono essere condivise in modo sicuro tramite AirDrop
• Si può utilizzare una passkey su un dispositivo per accedere a un account su dispositivi di terze parti

Da non confondere con la passkey Bluetooth

La parola passkey potrebbe trarvi in inganno, perché le passkey sono anche quelle che si utilizzano per l'abbinamento tra due dispositivi tramite Bluetooth, un codice numerico che viene mostrato per esempio sul telefono e che deve corrispondere a quello indicato o su un'etichetta o sullo schermo di un altro telefono o tablet. 

Ora che abbiamo capito cosa sono, vediamo come funzionano.

Il funzionamento delle passkey è semplice quanto efficace.

Quando vi recate su un sito Web che ha già implementato l'API WebAuthn, si vedrà un'opzione per l'accesso tramite i dispositivi o le credenziali memorizzate nel vostro portachiavi iCloud. Se non disponete già di un account sul sito, potrebbero esservi richieste alcune informazioni di base per poi salvare la passkey nel portachiavi iCloud, senza bisogno di password.

A questo punto, il sistema crea una coppia di chiavi crittografiche, pubblica e privata, univoche. Una volta registrato un account, la passkey basata su iCloud (per esempio) viene condivisa tra i dispositivi Apple con lo stesso ID Apple. Il funzionamento si basa sulle credenziali multi-dispositivo proposte da FIDO che consentono agli utenti di archiviare le chiavi di autenticazione su tutti i dispositivi e su piattaforme diverse. 

La coppia di chiavi gestisce senza problemi il processo di autenticazione tra il dispositivo e l'app o il sito web e, oltre ad essere più semplici e gestibili delle password, le passkey sono progettate per essere più sicure.

Ogni set di passkey è collegato solo a un'app o a un sito Web specifico, e lo scambio con iCloud Keychain (o Google Password Manager) è crittografato end-to-end in modo che nessuno possa leggerlo.

Prima di usare le passkey di Apple, dovete abilitarle. Il primo passo è aggiornare il vostro iPhone a iOS 16, altrimenti non potrete usare la funzione. Dopodiché, seguite questi passaggi.

Abilitate l'autenticazione con iCloud, se non è già attiva. Quando salvate una passkey, vi verrà comunque chiesto di farlo, in caso non l'abbiate fatto

1. Andate in Impostazioni
2. Toccate Password
3. Toccate Opzioni password 
4. Attivate l'opzione Compilazione automatica password e controllate che sotto "Consenti inserimento da" ci sia la spunta di fianco a Password e portachiavi iCloud.

Abilitate l'autenticazione a due fattori.

1. Andate in Impostazioni
2. Toccate il vostro profilo, la prima voce in alto
3. Toccate Password e sicurezza
4. Toccate Attiva l'autenticazione a due fattori, quindi seguite le istruzioni online

Abilitate la sincronizzazione delle password in iCloud.

1. Andate in Impostazioni
2. Toccate il vostro profilo, la prima voce in alto
3. Toccate iCloud
4. Selezionate Password e portachiavi
5. Attivate il pulsante di fianco a Sincronizza questo iPhone
6. Inserite la vostra password (ebbene sì, c'è bisogno della password) iCloud 

Ora possiamo iniziare a usare le passkey. Si possono verificare vari scenari, a seconda del dispositivo che state usando e se avete già salvato un account o meno con una password. Andiamo a vederli tutti.

Come salvare le passkey su iPhone

Se esiste un'app o un sito Web supportato per il quale non disponete di un account, potete creare una passkey da zero. In generale, dovete seguire le seguenti operazioni su iPhone.

1. Nella schermata di registrazione dell'account, inserite un nome account (indirizzo email)
2. Se presente, scegliete l'opzione per Face ID o Touch ID
3. Quando viene visualizzata l'opzione di salvare una passkey per l'account, toccate Continua
4. La passkey è stata salvata.

Non aspettatevi però la scritta grande "Crea una passkey".

Per la maggior parte dei siti, troverete la voce all'interno dell'opzione di creare un account con l'email. 

Per l'app Kajak, per esempio, una delle prime a implementare la soluzione, compare una finestra popup che vi chiede se volete salvare una passkey.

Come salvare le passkey da un dispositivo di un'altra persona

Se state utilizzando un dispositivo non associato al vostro ID Apple, invece di salvare la passkey sul dispositivo che state usando potete salvarla su iPhone e sul portachiavi di iCloud. In genere, per salvare una passkey su iPhone dovete seguire i seguenti passaggi.

1. Per un nuovo account, nella schermata di registrazione dell'account, inserite un nome account.
2. Per un account esistente, accedete inserendo la password, quindi andate alla schermata di gestione dell'account.
3. Quando viene visualizzata l'opzione di salvare la passkey per l'account, invece di Continua, vi verranno mostrati i pulsanti "Altre opzioni", "Salva su un altro dispositivo" o simili.
4. Toccate "Salva una passkey su un dispositivo con fotocamera" o simili, quindi seguite le istruzioni per visualizzare un codice QR sullo schermo.
5. Usate la fotocamera di iPhone per scansionare il codice QR e salvare la passkey

Come passare alle passkey da account esistente con password

Se disponete già di un account per un'app che supporta le passkey, potete modificare la modalità di accesso in modo da non aver più bisogno di una password. In generale, dovete accedere alle impostazioni di sicurezza di gestione dell'account e cercare l'opzione per i dispositivi di sicurezza hardware come chiavi USB o NFC.

1. Accedete all'app con il vostro indirizzo email e la password
2. Passate alla schermata delle impostazioni
3. Andate su Dispositivi di sicurezza hardware o, se siete fortunati, su Gestisci passkey
   • Nel primo caso, premete su Aggiungi nuovo dispositivo di sicurezza, toccate Continua con passcode, inserite il passcode del vostro telefono, assegnate un nome alla passkey e toccate Invio
   • Nel secondo caso, toccate Aggiungi nuova passkey e seguite le istruzioni

Come accedere a un account con la passkey da iPhone

Se volete accedere a un'app per la quale è stata creata una passkey, fate come segue.

1. Aprite l'app e andate alla schermata di accesso
2. Toccate il pulsante o il link di accesso
3. Dovrebbe apparire una notifica che vi chiede se volete accedere con la vostra passkey
4. Assicuratevi che l'opzione sia selezionata e toccate Continua.
5. Ora avete effettuato l'accesso utilizzando la passkey.

Per accedere a un sito Web per il quale si dispone di una passkey, il funzionamento è lo stesso.

1. Andate alla schermata di accesso
2. Digitate il vostro indirizzo email, se richiesto
3. Scegliete se desiderate accedere con Face ID, Touch ID o un dispositivo di sicurezza
4. Dovrebbe apparire una notifica che vi chiede se volete accedere con la vostra passkey
5. Toccate Continua per accedere.

Come accedere a un account con la passkey da un altro dispositivo

Se state utilizzando un dispositivo che non è associato al vostro ID Apple, potete comunque accedere a un account con la passkey che avete salvato su iPhone. In genere, la procedura è questa:

1. Con l'altro dispositivo (non associato al vostro ID Apple), andate alla schermata di accesso all'account
2. Sulla schermata di accesso, toccate il campo del nome account (email o altro)
3. Toccate "Altre opzioni", "Passkey da un dispositivo nelle vicinanze" o simili
4. Seguite le istruzioni per visualizzare un codice QR sullo schermo
5. Usate la fotocamera di iPhone per scansionare il codice QR.

Gestire la passkey

Sul vostro iPhone, è possibile visualizzare e gestire le app e i siti Web per i quali sono state create le passkey.

1. Andate nelle Impostazioni
2. Toccate Password
3. Le app e i siti salvati sono elencati sullo schermo. È quindi possibile toccare una voce specifica per visualizzare ulteriori dettagli sulla passkey
4. Qui potete vedere il vostro nome utente per l'account e quando è stata creata la passkey. Potete aggiungere una nota sull'account e persino aggiungere o rimuovere una password corrispondente.
5. Se desiderate rimuovere una passkey dal dispositivo, toccate Elimina passkey. Altrimenti, selezionate Modifica per modificare alcune informazioni, come il vostro nome utente.

A partire da ottobre, anche Google ha introdotto le passkey, su Android (per chi ha installato la beta del Google Play Services) e, con l'aggiornamento alla versione 108 di dicembre, su Chrome. Vediamo come funziona. 

Per quanto riguarda Chrome, la funzione è stata abilitata su Windows 11, macOS e Android, e su quest'ultimo, come abbiamo visto verranno sincronizzate in modo sicuro tramite Google Password Manager o, nelle versioni future di Android, qualsiasi altro gestore di password che le supporti.

Su Android, la gestione delle passkey avviene come su iPhone. Si utilizza il riconoscimento biometrico, proprio come se si dovesse sbloccare il dispositivo.

Se accedete a un'app che è stata aggiornata per utilizzare le passkey e avete detto di sì quando vi è stato chiesto di sostituire una password standard, vi verrà quindi chiesto di creare una passkey. 

Questo comporterà la stessa azione che fate per sbloccare il telefono: mostrare il volto, premere l'impronta digitale o inserire un PIN. Questo crea la passkey e autentica il collegamento tra l'app in questione e il dispositivo nelle vostre mani.

Una volta salvata una passkey sul telefono, questa può essere visualizzata nella compilazione automatica quando accedete a quell'app o sito. Il processo è come sopra. ovvero sbloccando il telefono. Come per le password, la durata dell'autenticazione varia: con le app bancarie, di solito dovete accedere ogni volta, mentre con un account di social media è spesso sufficiente un accesso per dispositivo.

Poiché le passkey sono basate su standard di settore, potete utilizzare un dispositivo Android o iOS. Per la gestione delle passkey, bisogna fare come segue:

1. Andate su Chrome
2. Toccate i tre puntini in alto a destra
3. Selezionate Impostazioni 
4. Cliccate su Compilazione automatica
5. Lì troverete le vostre passkey da Chrome su Windows e macOS, e potrete eliminarle, modificare il nome utente o controllare i siti a cui avete effettuato l'accesso

Tutto questo è molto bello, ma c'è un limite. Al momento i siti e le app che supportano le passkey sono veramente pochi. Non dubitiamo che a breve ci sarà un'aumento esponenziale dell'adozione, ed è molto probabile che in un futuro non molto lontano Apple o Google la renderanno un'opzione obbligatoria per le app dell'App Store o del Play Store, proprio come Apple ha fatto con la funzione Accedi con Apple.

Qui sotto, potete vedere una lista di siti e app che supportano le passkey. Per alcuni non funziona proprio immediatamente, ma l'utente di Reddit che sta tenendo aggiornata la lista ha spiegato come fare.

• AOL - dovete prima rimuovere l'autenticatore dell'app se ne hai una
• Best Buy
• Dropbox
• Facebook
• Github
• Godaddy
• Google
• ID.me
• Microsoft - solo per accedere a Edge usando il codice QR se si dice che si sta usando un Android per l'autenticazione
• Twitter
• Wordpress
• Yahoo
• 1Password - al momento ci sono problemi
• Zoho - al momento ci sono problemi
• PayPal - da configurare usando Chrome ma poi funziona anche con Safari
• Login.gov
• Stripe
• Nvidia