Tutti ne abbiamo troppe. Tutti ne dimentichiamo molte. Le password sono il tormento di ogni utente: diverse per ogni servizio (almeno, così dovrebbe essere), lunghe, complesse. Pochi si organizzano con costanza e precisione nell’utilizzo di un password manager (ovvero un sistema di memorizzazione di tutte le password, protetto da una password principale), e il compito di mantenerlo aggiornato è improbo. Alcuni si ingegnano ad elaborare complicati criteri per generarle e memorizzarle con semplicità, ma il disagio è costante.
Altri invece preferiscono appuntarle su foglietti e affidarsi alla buona sorte, custodendole nei luoghi più improbabili o anche in piena vista.
Tutto questo è noto alle “big tech”, che da anni studiano una soluzione efficace per mandare in pensione questo sistema di autenticazione segnato ormai dal peso degli anni, non tanto dal punto di vista tecnico (solo pochi anni fa la 2fa – autenticazione a due fattori – ne ha di molto aumentato la sicurezza) ma dal punto di vista pratico.
Dagli sforzi congiunti di Apple, Microsoft e Google (ma anche Amazon sarà presto della partita) nasce lo standard “Passkeys”: non più una coppia di credenziali nome utente/password (e magari un ulteriore fattore di autenticazione) ma una passkey.
Come funziona lo standard Passkeys
Senza volontà di esagerare nei tecnicismi, la passkey è un token di accesso, qualcosa dal funzionamento simile a un cookie che ci permette di restare loggati sul nostro sito preferito senza inserire ogni volta nome utente e password, ma generato sfruttando la crittografia asimmetrica. Il token sicuro è generato al momento dell’iscrizione al servizio o al sito web aderente allo standard passkeys e salvato in modo cifrato sui nostri dispositivi.
Al momento del successivo login il sito web richiederà la passkey che dovrà essere decrittata attraverso la password di sistema del dispositivo utilizzato o (meglio) un sistema biometrico. Accade quindi in maniera rapida e trasparente per l’utente ciò che oggi invece avviene attraverso diversi passaggi con un password manager: anziché aprire il password manager, individuare la voce di interesse e copiare/incollare nome utente e password, il sistema (al momento sono supportati i browser Google Chrome, Microsoft Edge e Apple Safari, a breve si allineerà anche Mozilla Firefox) si occuperà di interrogare il nostro “portachiavi passkeys”, individuare (se presente) la corrispondenza e chiedere semplicemente un’autorizzazione attraverso la password del dispositivo utilizzato.
Una sola password: è davvero un sistema più sicuro?
Il concetto di sostituire molte password differenti con una sola password principale non deve trarre in inganno riguardo la sicurezza dell’intero procedimento. Se infatti da una parte è vero che si tratta di una sola password, bisogna ricordare che tale credenziale non viene utilizzata direttamente per accedere al servizio (e, quindi, potenzialmente esposta), ma soltanto per decifrare il token che a sua volta servirà per l’autenticazione.
In ragione di ciò, per un eventuale attaccante sarà necessario non solo scoprire la password di sistema utilizzata per la cifratura dei token di accesso, ma anche violare il sistema per recuperare il token stesso da decifrare e utilizzare; tale operazione è decisamente complessa considerando i presidi di sicurezza garantiti dai moderni sistemi di memorizzazione cifrati implementati nell’hardware dei dispositivi moderni.
Oltre a questo, è ormai da considerarsi residuale l’utilizzo di una semplice password per accedere ai dispositivi più moderni: la maggior parte integra un lettore di impronte digitali o altri sistemi biometrici, eliminando quasi completamente la possibilità di esposizione dei dati di autenticazione che, cifrati, possono anche essere sincronizzati tra i diversi dispositivi di proprietà dell’utente attraverso il cloud.
Il futuro che ci attende
È dunque il progresso tecnologico nell’adozione della biometria e della cifratura da parte dei dispositivi che usiamo quotidianamente a permettere un’adozione sicura di uno standard strutturato come Passkeys.
La transizione a questo sistema non sarà certamente nè rapida nè indolore, è tuttavia un significativo passo in avanti nella semplificazione della gestione delle credenziali, diventata ormai insostenibile per chiunque.
La sfida all’implementazione del sistema Passkeys attende dunque ogni sito web che intenda rimanere al passo con i tempi e offrire un accesso non solo sicuro ma anche comodo ai propri utenti. Tale sfida non è però solo tecnica, ma anche legale. Al momento tale standard non trova infatti riscontro tra i presidi di autenticazione considerati dalle diverse normative, come ad esempio il noto GDPR, esponendo potenzialmente a seri rischi chi invece voglia utilizzarlo da subito con profitto.
NetworkLex è in prima linea nell’offrire ai propri clienti consulenza e assistenza per l’implementazione dello standard Passkeys, con l’intento di porsi come partner legal-tech di riferimento nello studio e nell’applicazione di soluzioni di autenticazione all’avanguardia.