Oggi quando creiamo un account per un servizio online sappiamo bene quali sono le regole del gioco per la password: deve essere lunga e sicura, se possibile non deve essere già stata utilizzata e ancora meglio se si riesce ad aggiungere un secondo fattore. Nella quotidianità, però, tutto questo può diventare uno stress tra password manager, e-mail di ripristino e app per l’autenticazione.
Sempre più spesso, quindi, capita che ci venga proposta la possibilità di utilizzare una passkey al posto della password. Il vantaggio è evidente: non c’è più bisogno di ricordarsi la password, digitarla o inserirla in una pagina di login. È sufficiente confermare l’accesso tramite uno dei propri dispositivi, ad esempio con l’impronta digitale, il riconoscimento facciale o un PIN.
È proprio per questo che per molti utenti le passkey risultano subito intuitive: oltre a rendere il login più moderno, infatti, spesso sono anche più semplici da usare sui propri dispositivi. Le passkey non sono però la soluzione a ogni problema. In questo articolo analizziamo quindi non solo i vantaggi, ma anche i possibili ostacoli nella vita di tutti i giorni.
Cosa sono le passkey?
Con una password classica l’accesso avviene sempre in modo simile. Si apre un sito web o un’app, si digita il nome utente e la password e, a seconda del servizio, viene richiesta anche la conferma di un secondo fattore.
Con una passkey la procedura cambia. Al posto della classica combinazione di nome utente e password, viene utilizzata una chiave di accesso digitale salvata sul proprio dispositivo o in un apposito manager.
A livello tecnico una passkey funziona attraverso una coppia di chiavi. Una chiave privata è salvata sul dispositivo o nell’apposito manager delle passkey, mentre una chiave pubblica è conservata dal servizio corrispondente. Al momento del login l’utente conferma una richiesta inviata al suo dispositivo con la chiave privata e il servizio verifica con la chiave pubblica se questa conferma è valida. Per l’utente la procedura assomiglia a un semplice sblocco. In realtà, grazie alle operazioni eseguite in background, questo metodo assicura che le password classiche non possano più essere intercettate o inserite in un sito web contraffatto.
Chi sblocca lo smartphone o il portatile tramite l’impronta digitale o il Face ID, spesso può accedere agli account supportati nello stesso modo e non deve più inserire una password aggiuntiva. In questo modo non solo si risparmia tempo, ma si elimina anche uno degli ostacoli con cui ci scontriamo più spesso nella vita di tutti i giorni e, in molti casi, si aumenta anche la sicurezza. Non si corre più il rischio di dimenticarsi la password o di digitare in modo errato i caratteri speciali ed è più difficile finire per dover reimpostare la password.
Perché le passkey rappresentano un passo avanti
Il vantaggio più importante si ha rispetto al noto problema del phishing. Attraverso un sito web contraffatto ma dall’aspetto veritiero gli hacker possono riuscire a sottrarre non soltanto le password, ma, in alcuni casi, anche altri dati di accesso, come i codici una tantum derivanti da un’autenticazione a due fattori. Una passkey, invece, funziona diversamente, perché è collegata al servizio vero e proprio e non può essere semplicemente utilizzata su una pagina di accesso qualsiasi o che sembra quella vera. Le passkey sono dunque nettamente più resistenti al phishing rispetto alle classiche password.
Un secondo punto quasi altrettanto importante e che nel quotidiano è spesso rilevante è che le password in molti casi vengono riutilizzate. Chi utilizza la stessa combinazione di caratteri per più account, rischia di perdere l’accesso a più account se anche soltanto un servizio subisce una violazione dei dati. Le passkey risolvono questo problema, perché per ogni servizio viene generata una chiave di accesso separata. Nel caso di una fuga di dati, quindi, non vengono messi a rischio né gli altri account né la corrispondente passkey, perché il servizio conserva solo la chiave pubblica.
Per chi sono adatte le passkey
I maggiori vantaggi li hanno coloro che utilizzano account importanti sui propri dispositivi. Ad esempio, l’account di posta elettronica, lo spazio di archiviazione su cloud, un account con dati di pagamento o account di lavoro centralizzati. In questi casi l’inserimento della password è spesso la parte più complicata del login. Eliminando questo passaggio, non soltanto questi servizi diventano più comodi da utilizzare, ma si è anche più protetti contro gli attacchi più diffusi.
Per chi lavora principalmente con il proprio smartphone e il proprio portatile, spesso le passkey sono un gioco da ragazzi. Soprattutto se i dispositivi sono ben integrati nel loro ecosistema e le passkey sono salvate nello stesso software di gestione. In un ambiente come questo, l’accesso diventa quasi impercettibile. Basta selezionare l’account, confermare il dispositivo ed è fatta.
Perché il tema è rilevante per molti clienti Hostpoint
Molti dei nostri clienti non gestiscono solo un sito web, ma anche account e-mail, login dei clienti e altri accessi web centrali. È proprio qui che si capisce quanto sia importante un metodo di accesso che combini in modo intelligente sicurezza e praticità. I passkey sono quindi un tema che vale la pena di considerare anche in relazione a siti web ed e-mail.
Limiti
Non sempre però le passkey sono così semplici da utilizzare. Teoricamente, una password può essere inserita su qualsiasi dispositivo. Una passkey, invece, funziona solo sul dispositivo su cui è salvata o se è possibile accedervi dalle proprie impostazioni. Questo può diventare un problema nel momento in cui un dispositivo viene sostituito, viene smarrito o è necessario effettuare il login da un computer di terzi. Ovviamente esiste una soluzione anche in questi casi, ma non è sempre altrettanto semplice.
A questo riguardo è importante sapere qual è la differenza tra passkey sincronizzate e collegate al dispositivo. Le passkey sincronizzate vengono trasferite su più dispositivi attraverso un apposito servizio. Sono comode, perché permettono di collegare più rapidamente un nuovo smartphone o un altro portatile. Le passkey collegate al dispositivo rimangono invece su un unico dispositivo. Si ha un maggiore controllo, ma spesso il passaggio a un dispositivo nuovo o a uno sostitutivo è più complicato. Dal punto di vista pratico, questa differenza è importante perché determina quale sia la tipologia più adatta e quanto sia effettivamente comodo utilizzare le passkey nella vita di tutti i giorni.
Altrettanto importante è ciò che accade se si perde il dispositivo o si passa a uno nuovo. Un buon metodo di accesso non deve funzionare solo in situazioni normali, ma anche quando qualcosa va storto. Serve un metodo affidabile per recuperare l’account se non si può più accedere a un dispositivo. Altrimenti un semplice login può trasformarsi facilmente in un problema inutile. Proprio per questo quando si parla di passkey non contano soltanto la sicurezza e la praticità, ma anche quanto siano gestiti bene l’archiviazione, la sincronizzazione e il ripristino.
Spesso si dimentica anche che non tutti i servizi online sostituiscono le password immediatamente e completamente. In alcuni casi le password e gli altri metodi di accesso vengono mantenuti attivi e le passkey vengono offerte in aggiunta. Una soluzione pratica, perché prevede una soluzione di riserva. Questo, però, significa anche che le vecchie vulnerabilità non scompaiono automaticamente solo perché viene impostata una passkey. Una password debole o utilizzata per più account può continuare a rappresentare un rischio. Una passkey, quindi, migliora notevolmente l’accesso, ma non risolve automaticamente tutti i vecchi problemi di un account.
Quando conviene effettuare il passaggio
Per chi oggi lavora principalmente sui propri dispositivi, vuole proteggere meglio i propri account importanti e vuole perdere meno tempo con le password, le passkey possono già essere un’opzione molto valida. Spesso infatti uniscono una maggiore praticità e una protezione efficace dal classico phishing. Per molti utenti privati, dunque, possono rappresentare già oggi un vero passo avanti.
Bisognerebbe invece procedere con maggiore cautela se si lavora spesso su dispositivi di terzi o se il ripristino di account importanti non è così semplice. In questi casi sarebbe consigliabile iniziare solo con alcuni account piuttosto che cambiare tutto in una sola volta. In questo modo si potrà verificare direttamente se nel quotidiano le passkey sono davvero più comode o se in alcuni casi sono ancora troppo complicate.
In conclusione
Le passkey non sono sempre la soluzione migliore, ma eliminano dei punti deboli effettivi delle password classiche. Riducono l’importanza delle classiche password, che in molti casi sono il punto debole principale di numerosi accessi, e rendono molto più difficili gli attacchi di phishing. Le passkey sono utili soprattutto quando si effettua regolarmente l’accesso da dispositivi propri e il salvataggio, la sincronizzazione e il ripristino funzionano perfettamente. Quando però entrano in gioco cambi di dispositivo, computer di terzi o vecchi login paralleli, è evidente che le passkey necessitano di una configurazione adeguata.
