Accesso senza password con password

Passkey

Introduzione

Le passkey sono un'alternativa più semplice e sicura alle password. Con le passkey gli utenti possono accedere ad app e siti web con un sensore biometrico (ad esempio l'impronta o il riconoscimento facciale), un PIN o una sequenza, così non devono più ricordarsi e gestire le password.

Sia gli sviluppatori che gli utenti odiano le password: offrono un'esperienza utente scadente, aggiungono attriti alle conversioni e creano responsabilità in termini di sicurezza sia per gli utenti sia per gli sviluppatori. Gestore delle password di Google in Android e Chrome riduce l'attrito tramite la compilazione automatica; per gli sviluppatori che cercano ulteriori miglioramenti in termini di conversione e sicurezza, le passkey e la federazione delle identità rappresentano gli approcci moderni del settore.

Una passkey può soddisfare i requisiti di autenticazione a più fattori in un solo passaggio, sostituendo sia una password sia una OTP (ad es. il codice SMS di 6 cifre) per offrire una protezione efficace dagli attacchi di phishing ed evitare il fastidio dell'esperienza utente delle password uniche basate su app o SMS. Poiché le passkey sono standardizzate, un'unica implementazione consente un'esperienza senza password su tutti i dispositivi degli utenti, su browser e sistemi operativi diversi.

Le passkey sono più facili:

  • Gli utenti possono selezionare un account con cui accedere. Non è obbligatorio digitare il nome utente.
  • Gli utenti possono eseguire l'autenticazione usando il blocco schermo del dispositivo, ad esempio un sensore di impronte digitali, il riconoscimento facciale o il PIN.
  • Una volta creata e registrata una passkey, l'utente può passare facilmente a un nuovo dispositivo e usarlo immediatamente senza dover ripetere la registrazione (a differenza dell'autenticazione biometrica tradizionale, che richiede la configurazione su ogni dispositivo).

Le passkey sono più sicure:

  • Gli sviluppatori salvano sul server solo una chiave pubblica invece di una password, il che significa che l'hack dei server ha un valore molto inferiore per l'hack dei server e molto meno operazioni di pulizia in caso di violazione.
  • Le passkey proteggono gli utenti dagli attacchi di phishing. Le passkey funzionano solo sui propri siti web e app registrati; un utente non può essere indotto con l'inganno all'autenticazione su un sito ingannevole perché la verifica è gestita dal browser o dal sistema operativo.
  • Le passkey riducono i costi per l'invio di SMS, rendendole un mezzo più sicuro e più conveniente per l'autenticazione a due fattori.

Che cosa sono le passkey?

Una passkey è una credenziale digitale associata a un account utente e a un sito web o un'applicazione. Le passkey consentono agli utenti di autenticarsi senza dover inserire nome utente o password né fornire fattori di autenticazione aggiuntivi. Questa tecnologia mira a sostituire i meccanismi di autenticazione legacy come le password.

Quando un utente vuole accedere a un servizio che utilizza le passkey, il browser o il sistema operativo lo aiuteranno a selezionare e utilizzare la passkey giusta. L'esperienza è simile a quella attuale delle password salvate. Per assicurarsi che solo il legittimo proprietario possa usare una passkey, il sistema gli chiederà di sbloccare il dispositivo. Questa operazione può essere eseguita con un sensore biometrico (ad esempio l'impronta o il riconoscimento facciale), un PIN o una sequenza.

Per creare una passkey per un sito web o un'applicazione, l'utente deve prima registrarsi al sito web o all'applicazione.

  1. Vai all'applicazione e accedi utilizzando il metodo di accesso esistente.
  2. Fai clic sul pulsante Crea una passkey.
  3. Controlla le informazioni archiviate con la nuova passkey.
  4. Usa lo sblocco schermo del dispositivo per creare la passkey.

Quando torna su questo sito web o su questa app per accedere, può procedere nel seguente modo:

  1. Vai all'applicazione.
  2. Tocca il campo del nome dell'account per visualizzare un elenco di passkey in una finestra di dialogo di compilazione automatica.
  3. Seleziona la passkey.
  4. Utilizza lo sblocco dello schermo del dispositivo per completare l'accesso.

Il dispositivo dell'utente genera una firma basata sulla passkey. Questa firma viene utilizzata per verificare la credenziale di accesso tra l'origine e la passkey.

Un utente può accedere ai servizi su qualsiasi dispositivo utilizzando una passkey, indipendentemente da dove è archiviata. Ad esempio, una passkey creata su un cellulare può essere usata per accedere a un sito web su un laptop separato.

Come funzionano le passkey?

Le passkey sono utilizzate nell'ambito di un'infrastruttura del sistema operativo che consente ai gestori delle passkey di creare le passkey, eseguirne il backup e renderle disponibili per le applicazioni in esecuzione su quel sistema operativo. Su Android, le passkey possono essere archiviate in Gestore delle password di Google, che sincronizza le passkey tra i dispositivi Android dell'utente su cui è stato eseguito l'accesso allo stesso Account Google. Le passkey vengono criptate in modo sicuro sul dispositivo prima di essere sincronizzate e devono essere decriptate su nuovi dispositivi. Gli utenti con sistema operativo Android 14 o versioni successive possono scegliere di memorizzare le passkey in un gestore delle password di terze parti compatibile.

Gli utenti possono utilizzare le passkey solo sul dispositivo in cui sono disponibili: le passkey disponibili sui telefoni possono essere utilizzate per accedere a un laptop, anche se la passkey non è sincronizzata con il laptop, purché il telefono si trovi nelle vicinanze del laptop e l'utente approvi l'accesso sul telefono. Poiché le passkey si basano sugli standard FIDO, tutti i browser possono adottarle.

Ad esempio, un utente visita example.com sul browser Chrome sul suo computer Windows. Questo utente ha precedentemente eseguito l'accesso a example.com sul proprio dispositivo Android e ha generato una passkey. Sul computer Windows, l'utente sceglie di accedere con una passkey di un altro dispositivo. I due dispositivi si connetteranno e all'utente verrà chiesto di approvare l'utilizzo della passkey sul dispositivo Android, ad esempio con un sensore di impronte digitali. Dopodiché eseguono l'accesso sul computer Windows. Tieni presente che la passkey non viene trasferita al computer Windows, quindi in genere example.com propone di creare una nuova passkey su quel computer. In questo modo, non sarà necessario usare il telefono la prossima volta che l'utente vuole accedere. Per saperne di più, consulta Accedere con un telefono.

Chi usa le passkey?

Alcuni servizi utilizzano già le passkey nei loro sistemi.

Fai una prova

Puoi provare le passkey in questa demo: https://passkeys-demo.appspot.com/

Considerazioni sulla privacy

  • Perché l'accesso con dati biometrici potrebbe dare agli utenti l'impressione falsa che stia inviando informazioni sensibili al server. In realtà, il materiale biometrico non lascia mai il dispositivo personale dell'utente.
  • Le passkey da sole non consentono di monitorare utenti o dispositivi tra un sito e l'altro. La stessa passkey non viene mai utilizzata per più siti. I protocolli passkey sono progettati con cura in modo che nessuna informazione condivisa con i siti possa essere utilizzata come vettore di monitoraggio.
  • I gestori delle passkey proteggono le passkey dall'accesso e dall'utilizzo non autorizzati. Ad esempio, Gestore delle password di Google cripta i secret delle passkey end-to-end. Solo l'utente può accedervi e utilizzarli e, anche se è stato eseguito il backup sui server di Google, Google non può utilizzarli per rubare l'identità di altri utenti.

Considerazioni sulla sicurezza

  • Le passkey utilizzano la crittografia a chiave pubblica. La crittografia a chiave pubblica riduce la minaccia di potenziali violazioni dei dati. Quando un utente crea una passkey con un sito o un'applicazione, sul dispositivo dell'utente viene generata una coppia di chiavi pubblica-privata. Solo la chiave pubblica viene archiviata dal sito, ma questa da sola è inutile per un utente malintenzionato. Un utente malintenzionato non può ricavare la chiave privata dell'utente dai dati archiviati sul server, necessaria per completare l'autenticazione.
  • Poiché le passkey sono associate all'identità di un sito web o di un'app, sono protette dagli attacchi di phishing. Il browser e il sistema operativo assicurano che una passkey possa essere utilizzata solo con il sito web o l'app che le ha create. In questo modo gli utenti non saranno più responsabili dell'accesso al sito web o all'app originali.

Ricevi notifiche

Iscriviti alla newsletter per gli sviluppatori relativa alle passkey di Google per ricevere notifiche sugli aggiornamenti delle passkey.

Passaggi successivi