Segui ZDNET: Aggiungici come fonte preferita su Google.
I principali punti salienti di ZDNET
- Le passkey ti consentono di accedere senza digitare o ricordare le password.
- A differenza delle password, sono resistenti al phishing.
- Le passkey sincronizzabili semplificano gli accessi sicuri su tutti i dispositivi.
Nell’ultimo anno circa, le passkey sono diventate mainstream. Il tasso di adozione di questa tecnologia è stato notevole e non mostra segni di rallentamento. Se la tua esperienza è come la mia, probabilmente sei invitato a salvare una nuova passkey almeno una o due volte a settimana.
Tutto sommato, ora ho almeno 40 passkey salvate. Posso utilizzare queste passkey per saltare completamente la richiesta della password e accedere con dati biometrici (viso o impronta digitale) a decine di siti Net, comprese le principali destinazioni di buying come Costco, Goal, Amazon e Walmart, nonché siti più tecnici come Dell, Adobe e Dropbox. La società che gestisce le registrazioni dei miei nomi di dominio utilizza passkey, così come la compagnia elettrica, la mia cooperativa di credito e lo studio del mio medico.
Inoltre: sto abbandonando le password per le passkey per un motivo: e non è quello che pensi
Ma sento ancora lettori che non capiscono bene cos’è una passkey, come funziona o perché è meglio di una password.
Dopo un lungo scambio on-line sull’argomento con un amico che ha finalmente ottenuto un “Aha!” momento, penso di aver capito perché l’argomento è così confuso: una passkey non è una cosa tangibile: è un’astrazione. Di conseguenza, la maggior parte dei tentativi di spiegare la tecnologia si impantanano nei dettagli tecnici.
Anche la persona meno tecnica che conosci può dirti cos’è una password: una combinazione di lettere e numeri, con magari un simbolo inserito. Puoi creare la tua password usando una parola comune, un nome o una information, e puoi anche scriverla su un foglietto adesivo. Se sei come la maggior parte delle persone, riutilizzi regolarmente la stessa password, o qualche variazione di essa, anche se sai che probabilmente è una cattiva thought.
Inoltre: Come funzionano le passkey: la guida completa al tuo inevitabile futuro senza password
Una passkey, invece, è difficile da descrivere. Se ti dicessi che si tratta di una credenziale digitale sicura generata da una chiave pubblica e una chiave privata, potresti formare un’immagine mentale da abbinare a quelle parole? Probabilmente no. Seppellire la definizione in dettagli più tecnici non aiuterà.
Ma penso che possiamo arrivarci, insieme, in un linguaggio semplice (per lo più) non tecnico, senza un sacco di gergo, semplicemente rispondendo alle domande che continuo a sentire dai lettori.
Cos’è una chiave di accesso?
Una passkey è una credenziale sicura e salvata che ti consente di accedere a un sito Net o un servizio Net specifico dimostrando la tua identità con dati biometrici o un PIN. Le passkey vengono particular utilizzando il file Standard di autenticazione Web (WebAuthn)..
Cosa succede quando crei una passkey?
Quando crei una passkey, stai effettivamente generando e salvando due pezzi corrispondenti di informazioni digitali crittografate: uno sul sito net o sul servizio a cui stai accedendo (questo è indicato nello customary come parte affidante) e un secondo sul tuo dispositivo. Quelle chiavi possono funzionare solo insieme; uno è inutile senza l’altro.
Ecco come funziona:
Vai su un sito net e accedi come al solito con la tua password. Dopo aver effettuato l’accesso, viene visualizzato il messaggio: Creare una passkey? E tu dici: “Perché, sì, lo farei”. Oppure, se il sito Net non ti offre assistenza per creare una passkey, trovi l’opzione nella pagina delle impostazioni di sicurezza per il tuo account. Lo screenshot seguente mostra ciò che vedi su Dell.com, advert esempio.
Potrebbe essere necessario approfondire le impostazioni per creare una passkey per un sito Net o un servizio
Schermata di Ed Bott/ZDNET
Dovrai scegliere quale autenticatore utilizzare per creare la passkey (ne parleremo più avanti tra poco), ma oltre a ciò non devi fare nient’altro. Hai già effettuato l’accesso utilizzando la tua password, quindi il sito net sa che sei autorizzato a utilizzare quell’account.
Il sito net o il servizio a cui ti connetti salva una chiave di crittografia univoca sul proprio server e il tuo autenticatore (il tuo dispositivo o gestore di password) genera una seconda chiave di crittografia privata univoca e la archivia in un luogo sicuro sul tuo dispositivo.
Questa è la passkey: due segreti, uno su ciascuna estremità, che lavorano insieme per stabilire il tuo diritto a utilizzare l’account. Il tuo nome utente e la tua password non sono più coinvolti e nessuno potrà mai vedere la chiave di crittografia privata sul tuo pc, nemmeno tu.
Quale autenticatore dovrei usare?
Quando crei una passkey, scegli quale autenticatore utilizzare. La posizione predefinita è il dispositivo stesso, advert esempio un PC che supporta l’autenticazione biometrica di Home windows Whats up. Puoi anche scegliere un gestore di password che supporti le passkey o addirittura utilizzare una chiave di sicurezza {hardware}.
Perché è importante? Se utilizzi il tuo PC o dispositivo cell o una chiave di sicurezza {hardware} come autenticatore, stai creando un file passkey associata al dispositivo. Funzionerà solo insieme a quell'{hardware}. Se provi advert accedere su un dispositivo diverso o se la chiave di sicurezza {hardware} non è a portata di mano, non avrai accesso a quella passkey.
Al contrario, un gestore di password può salvare passkey sincronizzabili che puoi utilizzare su più dispositivi. Gestore password Google e portachiavi iCloud possono sincronizzare le tue passkey su più dispositivi. Lo stesso possono fare i gestori di password di terze parti come 1Password o Bitwarden. (Per un elenco aggiornato degli autenticatori delle passkey, vedere questo Pagina GitHub.)
Inoltre: gli utenti di Home windows 11 hanno appena ottenuto un modo più conveniente per archiviare le passkey: ecco come funziona
Se sei già abituato a utilizzare un gestore di password che supporta le passkey, questa è la scelta migliore. Potrai creare, gestire e utilizzare le passkey utilizzando la stessa interfaccia che hai già utilizzato.
Ed ecco un suggerimento potente: puoi utilizzare più autenticatori di passkey e creare più passkey per lo stesso sito. Per alcuni siti di alto valore, ho creato passkey su due o più chiavi {hardware} e in 1Password, offrendomi la possibilità di scegliere modi per accedere in modo sicuro a tali siti, anche su {hardware} sconosciuto.
Come si usa una passkey?
Quando visiti un sito Net in cui hai precedentemente creato una passkey, inserisci il tuo indirizzo e mail o nome utente come al solito, ma invece di vedere una casella in cui inserisci una password, viene visualizzato un messaggio: Vuoi accedere con la tua passkey? Dici di sì e fai clic sul pulsante relativo alla passkey salvata.
Devi dimostrare la tua identità prima di poter salvare una passkey
Schermata di Ed Bott/ZDNET
Il sito Net utilizza la propria chiave (quella generata quando si imposta la passkey) per inviare una sfida al PC o al gestore delle password. Cube, in effetti, “L’individuo associato a questa chiave vorrebbe accedere al proprio account. Sei d’accordo?”
Il tuo autenticatore (Home windows Whats up su un PC, portachiavi iCloud su un dispositivo Apple o una chiave {hardware}) conferma che la richiesta proviene da una fonte valida e non da un sito Net di phishing; quindi ti chiede di identificarti con dati biometrici o PIN e controlla che la sfida corrisponda alle informazioni salvate nella tua passkey, conferma che corrispondono.
Inoltre: utilizzi già un approccio esclusivamente software program per l’autenticazione con passkey: perché è importante
L’autenticatore utilizza la tua chiave privata per creare un messaggio che informa il sito net che hai dimostrato la tua identità e che disponi di una passkey corrispondente. Ora hai effettuato l’accesso, proprio come avresti fatto se avessi utilizzato la password.
Tu e l’altro sito net non avete mai scambiato le chiavi di crittografia effettive, quindi non potevano essere intercettate o copiate. Tutto ciò che il tuo PC o il tuo gestore di password ha fatto è stato affermare che sei tu e che la passkey corrisponde. L’intero processo è molto più veloce e sicuro rispetto all’alternativa basata su password.
Dove vengono archiviate le passkey?
Le tue passkey vengono archiviate in una posizione sicura sul tuo telefono o pc, protetta da {hardware} crittografico: TPM su un PC Home windows, Safe Enclave su un Mac o dispositivo iOS o un Trusted Execution Setting su un dispositivo Android.
Solo l’autenticatore può accedere a una passkey e può farlo solo dopo aver dimostrato la tua identità. Le passkey non sono accessibili al file system, il che significa che non puoi utilizzare Esplora file o Finder per scorrere la raccolta di passkey. (Significa anche che il malware non può accedere alle passkey salvate.)
Inoltre: Apple, Microsoft o Google: quale autenticatore di piattaforma governa il nostro futuro di passkey?
Non è possibile aprire una passkey e ispezionarne il contenuto. Non puoi creare una copia di una passkey salvata sul tuo telefono o pc e non puoi utilizzare accidentalmente una passkey se un malintenzionato ti inganna con un sito Net falso progettato per sembrare legittimo.
Cosa succede alla mia password dopo aver creato una passkey?
Un giorno, tra molti anni, potremmo vivere in un mondo senza password. Quel giorno non è oggi.
Inoltre: come posso impostare facilmente le passkey tramite il mio gestore di password e perché dovresti farlo anche tu
Per ora, le passkey sono un’alternativa alle password e la password rimane in genere disponibile come metodo per accedere a un sito in cui è stata creata una passkey. Alcuni servizi ti permetteranno di rimuovere una password dopo aver creato più passkey (puoi farlo, advert esempio, con il tuo account Microsoft), ma queste opzioni sono ancora uncommon.
Perché una passkey è più sicura di una password?
Quando utilizzi una password, ecco cosa succede: vai su un sito Net, inserisci nome utente e password e fai clic su un pulsante. Se tutto va bene, hai effettuato l’accesso. Ma ci sono molte cose che possono andare storte.
Per cominciare, le password possono essere oggetto di phishing. Se un malintenzionato riesce a creare un sito net che assomiglia alla pagina di accesso della tua banca, potresti essere ingannato e inserire la tua password lì, a quel punto il malintenzionato potrà accedere come te e rubare i fondi nel tuo conto bancario.
Le password possono essere indovinate, sia con attacchi di forza bruta che provano ogni possibile combinazione di lettere, numeri e simboli, sia da un utente malintenzionato che riesce a capire la tua password facile da indovinare. Basta chiedere a Donald Trump, di chi sono le password dell’account Twitter non erano difficili da indovinare — sei licenziato nel 2014 e maga2020! sei anni dopo.
Inoltre: ho sostituito la password del mio account Microsoft con una passkey e dovresti farlo anche tu
Anche le password possono essere rubate. Un keylogger o un Trojan advert accesso remoto può inviare le tue password a un utente malintenzionato, oppure può utilizzare l’opzione estremamente a bassa tecnologia della “navigazione in spalla” – osservando mentre digiti nome utente e password, magari con l’aiuto di una videocamera.
Anche se il tuo opsec è perfetto, potresti comunque subire il dirottamento della password se il sito net fa un pessimo lavoro di archiviazione e protezione.
Infine, potresti (incautamente) riutilizzare la combinazione di nome utente e password in altri siti e saresti vulnerabile se la password di un sito venisse trapelata o sottoposta a phishing.
Le passkey sono immuni a tali attacchi. Un phisher esperto potrebbe ingannarti facendoti credere che un sito net falso sia reale, ma non avrà mai accesso alla passkey, perché il dominio e la chiave di crittografia associata non corrispondono. E non può essere rubato, perché non lascia mai il suo archivio sicuro sul tuo dispositivo.
L’unico modo per sbloccarlo è identificarti con dati biometrici o un PIN dopo che il tuo autenticatore ha ricevuto una richiesta legittima da un server remoto. L’intero processo rende impossibile il phishing.
Devo preoccuparmi di rendere uniche le passkey?
Da anni leggi colonne di consigli che ti dicono quanto sia importante avere una password univoca per ogni sito. Quindi, è necessario esercitare lo stesso livello di cautela e creare una passkey univoca per ogni sito che li consenta?
Ah! È quasi una domanda trabocchetto. Le passkey sono uniche per definizione. Ogni passkey è composta da due chiavi di crittografia separate che vengono generate per essere utilizzate solo con il sito o il servizio in cui è stata creata.
Puoi, tuttavia, avere più passkey per un singolo sito. Se sono legati al dispositivo, potresti averne uno per il tuo laptop computer e uno per il tuo telefono. Oppure potresti avere una o più chiavi {hardware} come YubiKey. Come accennato in precedenza, creare passkey sincronizzabili nel tuo gestore di password è l’opzione più conveniente.
