Accesso senza password con password

Passkey

Introduzione

Le passkey sono un'alternativa più semplice e sicura alle password. Con le passkey, gli utenti possono accedere ad app e siti web con un sensore biometrico (come un'impronta o il riconoscimento facciale), un PIN o una sequenza, evitando così di dover ricordare e gestire le password.

Sviluppatori ed utenti odiano le password: offrono un'esperienza utente non soddisfacente, aggiungono difficoltà di conversione e creano responsabilità di sicurezza sia per gli utenti che per gli sviluppatori. Gestore delle password di Google in Android e Chrome riduce le complicazioni tramite la compilazione automatica. Per gli sviluppatori che cercano ulteriori miglioramenti in termini di conversioni e sicurezza, passkey e federazione delle identità sono gli approcci moderni del settore.

Una passkey può soddisfare i requisiti di autenticazione a più fattori in un solo passaggio, sostituendo una password e l'OTP (ad esempio codice SMS a 6 cifre) per garantire una protezione efficace dagli attacchi di phishing ed evita il problema dell'esperienza utente degli SMS o delle password uniche eseguite dall'app. Poiché le passkey sono standardizzate, un'implementazione singola consente un'esperienza senza password su tutti i dispositivi degli utenti, su browser e sistemi operativi diversi.

Le passkey sono più facili:

  • Gli utenti possono selezionare un account con cui eseguire l'accesso. Non è necessario digitare il nome utente.
  • Gli utenti possono eseguire l'autenticazione utilizzando il blocco schermo del dispositivo, ad esempio un sensore di impronte digitali, un riconoscimento facciale o un PIN.
  • Una volta creata e registrata una passkey, l'utente può passare facilmente a un nuovo dispositivo e usarlo immediatamente senza dover registrarsi di nuovo (a differenza di un'autenticazione biometrica tradizionale, che richiede la configurazione su ogni dispositivo).

Le passkey sono più sicure:

  • Gli sviluppatori salvano una chiave pubblica solo sul server anziché su una password, il che significa che c'è molto meno valore che un utente malintenzionato possa violare i server e che sia molto meno eseguibile in caso di violazione.
  • Le passkey proteggono gli utenti dagli attacchi di phishing. Le passkey funzionano solo sui loro siti web e sulle loro app registrate; un utente non può essere indotto con l'inganno ad accedere a un sito ingannevole perché il browser o il sistema operativo gestiscono la verifica.
  • Le passkey riducono i costi di invio degli SMS, rendendoli un mezzo più sicuro ed economico per l'autenticazione a due fattori.

Cosa sono le passkey?

Una passkey è una credenziale digitale associata a un account utente e a un sito web o a un'applicazione. Le passkey consentono agli utenti di autenticarsi senza dover inserire nome utente o password o fornire altri fattori di autenticazione. Questa tecnologia mira a sostituire i meccanismi di autenticazione precedenti come le password.

Quando un utente vuole accedere a un servizio che utilizza passkey, il suo browser o il sistema operativo lo aiuterà a selezionare e utilizzare la passkey giusta. L'esperienza è simile al funzionamento attuale delle password salvate. Per garantire che solo il legittimo proprietario possa usare una passkey, il sistema gli chiederà di sbloccare il dispositivo. Questo può essere eseguito con un sensore biometrico (come un'impronta o il riconoscimento facciale), un PIN o una sequenza.

Per creare una passkey per un sito web o un'applicazione, l'utente deve prima registrarsi sul sito web o nell'applicazione.

  1. Vai all'applicazione e accedi utilizzando il metodo di accesso esistente.
  2. Fai clic sul pulsante Crea una passkey.
  3. Controlla le informazioni archiviate con la nuova passkey.
  4. Usa lo sblocco con lo schermo del dispositivo per creare la passkey.

Quando tornano in questo sito web o in questa app per accedere, possono seguire questi passaggi:

  1. Vai all'applicazione.
  2. Tocca il campo del nome dell'account per visualizzare un elenco di passkey in una finestra di dialogo di compilazione automatica.
  3. Seleziona la relativa passkey.
  4. Utilizza lo sblocco con lo schermo del dispositivo per completare l'accesso.

Il dispositivo dell'utente genera una firma in base alla passkey. Questa firma viene utilizzata per verificare le credenziali di accesso tra l'origine e la passkey.

Un utente può accedere ai servizi su qualsiasi dispositivo utilizzando una passkey, indipendentemente da dove è archiviata. Ad esempio, una passkey creata su un cellulare può essere utilizzata per accedere a un sito web su un laptop separato.

Come funzionano le passkey?

Le passkey sono destinate a essere utilizzate tramite l'infrastruttura del sistema operativo che consente ai gestori di creare, eseguire il backup e rendere le passkey disponibili alle applicazioni in esecuzione su tale sistema operativo. Su Android, le passkey possono essere archiviate nel Gestore delle password di Google, che sincronizza le passkey tra i dispositivi Android dell'utente che hanno eseguito l'accesso allo stesso Account Google. Le passkey vengono criptate in sicurezza sul dispositivo prima di essere sincronizzate e richiedono la loro decriptazione su nuovi dispositivi. Gli utenti con Android OS 14 o versioni successive possono scegliere di archiviare le loro passkey in un gestore delle password di terze parti compatibile.

Gli utenti non sono limitati a usare le passkey solo sul dispositivo su cui sono disponibili: le passkey disponibili sui telefoni possono essere usate quando accedono a un laptop, anche se non sono sincronizzate sul laptop, purché il telefono sia vicino al laptop e l'utente approvi l'accesso sul telefono. Poiché le passkey sono basate su standard FIDO, tutti i browser possono adottarle.

Ad esempio, un utente visita example.com nel browser Chrome del proprio computer Windows. Questo utente ha eseguito l'accesso a example.com sul proprio dispositivo Android e ha generato una passkey. Sul computer Windows, l'utente sceglie di accedere con una passkey da un altro dispositivo. I due dispositivi si connetteranno e all'utente verrà chiesto di approvare l'utilizzo della sua passkey sul dispositivo Android, ad esempio con un sensore di impronte digitali. Dopo aver eseguito l'accesso, eseguono l'accesso sul computer Windows. Tieni presente che la passkey stessa non viene trasferita alla macchina Windows, quindi in genere example.com propone di creare una nuova passkey. In questo modo, il telefono non sarà richiesto all'accesso successivo. Per scoprire di più, leggi Accedere con un telefono.

Chi usa le passkey?

Alcuni servizi utilizzano già passkey nei propri sistemi.

Fai una prova

Puoi provare le passkey in questa demo: https://passkeys-demo.appspot.com/

Considerazioni sulla privacy

  • Perché l'accesso con i dati biometrici potrebbe dare agli utenti un'impressione falsa che invia informazioni sensibili al server. In realtà, il materiale biometrico non lascia mai il dispositivo personale dell'utente.
  • Di per sé, le passkey non consentono di monitorare gli utenti o i dispositivi tra siti. La stessa passkey non viene mai utilizzata con più di un sito. I protocolli Passkey sono progettati con attenzione in modo che nessuna informazione condivisa con i siti possa essere utilizzata come vettore di monitoraggio.
  • I gestori delle passkey proteggono le passkey da accessi e utilizzi non autorizzati. Ad esempio, Gestore delle password di Google cripta i passkey end-to-end. Solo l'utente può accedervi e utilizzarlo; tuttavia, anche se è stato eseguito il backup sui server di Google, Google non può utilizzarli per impersonare altri utenti.

Considerazioni sulla sicurezza

  • Le passkey utilizzano la crittografia delle chiavi pubbliche. La crittografia delle chiavi pubbliche riduce la minaccia di potenziali violazioni dei dati. Quando un utente crea una passkey con un sito o un'applicazione, viene generata una coppia di chiavi pubbliche/private sul dispositivo dell'utente. Solo la chiave pubblica è archiviata dal sito, ma da sola è inutile per un utente malintenzionato. Un utente malintenzionato non può ricavare la chiave privata dell'utente dai dati archiviati sul server, necessario per completare l'autenticazione.
  • Poiché le passkey sono associate all'identità di un sito web o di un'app, sono sicure contro gli attacchi di phishing. Il browser e il sistema operativo garantiscono che una passkey possa essere utilizzata solo con il sito web o l'app che le ha create. In questo modo gli utenti non saranno responsabili dell'accesso al sito web o all'app originali.

Ricevi notifiche

Iscriviti alla newsletter per gli sviluppatori di passkey di Google per ricevere notifiche sugli aggiornamenti delle passkey.

Passaggi successivi