Accedere senza password con le passkey

Passkey

Introduzione

Le passkey sono un'alternativa più sicura e semplice rispetto alle password. Con le passkey, gli utenti possono accedere ad app e siti web con un sensore biometrico (ad esempio l'impronta o il riconoscimento facciale), PIN o sequenza, in modo da non dover ricordare e gestire le password.

Sia sviluppatori che utenti odiano le password: offrono un'esperienza utente scadente, rendono più fastidiosi le conversioni e comportano responsabilità per la sicurezza sia per gli utenti che per gli sviluppatori. Gestore delle password di Google in Android e Chrome riduce l'attrito attraverso la compilazione automatica. Per gli sviluppatori che cercano ulteriori miglioramenti in termini di conversione e sicurezza, le passkey e la federazione delle identità sono gli approcci moderni del settore.

Una passkey è in grado di soddisfare i requisiti di autenticazione a più fattori in un solo passaggio, sostituendo sia una password sia una OTP (ad esempio il codice SMS di 6 cifre) per offrire una solida protezione contro gli attacchi di phishing ed evitare il problema dell'UX delle password monouso basate su app o SMS. Poiché le passkey sono standardizzate, una singola implementazione consente un'esperienza senza password su tutti i dispositivi degli utenti, su diversi browser e sistemi operativi.

Le passkey sono più facili:

  • Gli utenti possono selezionare un account con cui accedere. L'inserimento del nome utente non è obbligatorio.
  • Gli utenti possono eseguire l'autenticazione usando il blocco schermo del dispositivo, ad esempio un sensore di impronte digitali, il riconoscimento facciale o il PIN.
  • Una volta creata e registrata una passkey, l'utente può passare facilmente a un nuovo dispositivo e usarlo immediatamente senza dover ripetere la registrazione (a differenza dell'autenticazione biometrica tradizionale, che richiede la configurazione su ogni dispositivo).

Le passkey sono più sicure:

  • Gli sviluppatori salvano sul server solo una chiave pubblica anziché una password, il che significa che l'hack dei server ha un valore molto inferiore per un malintenzionato e molto meno operazioni di pulizia in caso di violazione.
  • Le passkey proteggono gli utenti da attacchi di phishing. Le passkey funzionano solo sulle app e sui siti web registrati. Un utente non può essere indotto con l'inganno ad autenticare su un sito ingannevole perché è il browser o il sistema operativo a gestire la verifica.
  • Le passkey riducono i costi per l'invio di SMS, rendendole così un mezzo più sicuro ed economico per l'autenticazione a due fattori.

Che cosa sono le passkey?

Una passkey è una credenziale digitale legata a un account utente e a un sito web o un'applicazione. Le passkey consentono agli utenti di autenticarsi senza dover inserire nome utente o password né fornire fattori di autenticazione aggiuntivi. Questa tecnologia mira a sostituire i meccanismi di autenticazione legacy come le password.

Quando un utente vuole accedere a un servizio che utilizza le passkey, il browser o il sistema operativo lo aiuteranno a selezionare e usare la passkey giusta. L'esperienza di utilizzo è simile a quella attuale delle password salvate. Per assicurarsi che solo il legittimo proprietario possa usare una passkey, il sistema gli chiederà di sbloccare il suo dispositivo. Questa operazione può essere eseguita con un sensore biometrico (ad esempio il riconoscimento dell'impronta o facciale), un PIN o una sequenza.

Per creare una passkey per un sito web o un'applicazione, l'utente deve prima registrarsi al sito web o all'applicazione.

  1. Vai all'applicazione e accedi utilizzando il metodo di accesso esistente.
  2. Fai clic sul pulsante Crea una passkey.
  3. Controlla le informazioni che vengono memorizzate con la nuova passkey.
  4. Usa lo sblocco dello schermo del dispositivo per creare la passkey.

Quando torna su questo sito web o su questa app per accedere, può svolgere i seguenti passaggi:

  1. Vai all'applicazione.
  2. Tocca il campo del nome dell'account per visualizzare un elenco di passkey in una finestra di dialogo di compilazione automatica.
  3. Seleziona la passkey.
  4. Usa lo sblocco dello schermo del dispositivo per completare l'accesso.

Il dispositivo dell'utente genera una firma in base alla passkey. Questa firma viene utilizzata per verificare la credenziale di accesso tra l'origine e la passkey.

Un utente può accedere ai servizi su qualsiasi dispositivo utilizzando una passkey, indipendentemente da dove è archiviata la passkey. Ad esempio, una passkey creata su un cellulare può essere usata per accedere a un sito web su un laptop separato.

Come funzionano le passkey?

Le passkey sono destinate all'utilizzo nell'infrastruttura del sistema operativo, che consente ai gestori delle passkey di creare, eseguire il backup e rendere disponibili le passkey per le applicazioni in esecuzione su tale sistema operativo. Su Android, le passkey possono essere archiviate in Gestore delle password di Google, che sincronizza le passkey tra i dispositivi Android dell'utente su cui è stato eseguito l'accesso allo stesso Account Google. Le passkey vengono criptate sul dispositivo in modo sicuro prima di essere sincronizzate e devono essere decriptate su nuovi dispositivi. Gli utenti con Android OS 14 o versioni successive possono scegliere di memorizzare le passkey in un gestore delle password di terze parti compatibile.

Gli utenti non sono limitati all'utilizzo delle passkey solo sul dispositivo in cui sono disponibili: le passkey disponibili sui telefoni possono essere utilizzate per accedere a un laptop, anche se la passkey non è sincronizzata con il laptop, purché il telefono si trovi nelle vicinanze e l'utente approvi l'accesso sul telefono. Poiché le passkey si basano sugli standard FIDO, tutti i browser possono adottarle.

Ad esempio, un utente visita example.com sul browser Chrome sul suo computer Windows. Questo utente ha già eseguito l'accesso a example.com sul proprio dispositivo Android e ha generato una passkey. Sul computer Windows, l'utente sceglie di accedere con una passkey da un altro dispositivo. I due dispositivi si connetteranno e all'utente verrà chiesto di approvare l'utilizzo della passkey sul dispositivo Android, ad esempio con un sensore di impronte digitali. Dopodiché viene eseguito l'accesso sul computer Windows. Tieni presente che la passkey non viene trasferita al computer Windows, quindi in genere example.com suggerisce di creare una nuova passkey sul computer. In questo modo, non sarà necessario il telefono la prossima volta che l'utente vuole accedere. Per ulteriori informazioni, consulta Accedere con un telefono.

Chi usa le passkey?

Diversi servizi utilizzano già le passkey nei loro sistemi.

Fai una prova

Puoi provare le passkey in questa demo: https://passkeys-demo.appspot.com/

Considerazioni sulla privacy

  • Perché l'accesso con i dati biometrici potrebbe dare agli utenti la falsa impressione che questo stia inviando informazioni sensibili al server. In realtà, i materiali biometrici non lasciano mai il dispositivo personale dell'utente.
  • Le passkey da sole non consentono di monitorare gli utenti o i dispositivi tra i siti. La stessa passkey non viene mai utilizzata per più di un sito. I protocolli con passkey sono progettati con cura in modo che nessuna informazione condivisa con i siti possa essere utilizzata come vettore di monitoraggio.
  • I gestori delle passkey proteggono le passkey dall'accesso e dall'uso non autorizzati. Ad esempio, Gestore delle password di Google cripta i secret delle passkey end-to-end. Solo l'utente può accedervi e utilizzarli e, anche se ne viene eseguito il backup sui server di Google, Google non può utilizzarli per rubare l'identità di altri utenti.

Considerazioni sulla sicurezza

  • Le passkey utilizzano la crittografia a chiave pubblica. La crittografia a chiave pubblica riduce la minaccia di potenziali violazioni dei dati. Quando un utente crea una passkey per un sito o un'applicazione, viene generata una coppia di chiavi pubblica-privata sul dispositivo dell'utente. Solo la chiave pubblica viene archiviata dal sito, che da sola è inutile per un utente malintenzionato. Un utente malintenzionato non può ricavare la chiave privata dell'utente dai dati archiviati sul server, operazione necessaria per completare l'autenticazione.
  • Poiché le passkey sono associate all'identità di un sito web o di un'app, sono protette dagli attacchi di phishing. Il browser e il sistema operativo assicurano che una passkey possa essere utilizzata solo con il sito web o l'app che le ha create. In questo modo gli utenti non saranno più responsabile di accedere al sito web o all'app originali.

Ricevi notifiche

Iscriviti alla newsletter per gli sviluppatori di passkey di Google per ricevere notifiche sugli aggiornamenti relativi alle passkey.

Passaggi successivi