L’introduzione delle passkey sui più recenti sistemi operativi Apple è il primo passo verso l’addio alle password, in favore dell’identificazione biometrica per accedere ai servizi online.
Basta con le parole chiave poco sicure o difficili da ricordare: la fine delle password è vicina. In futuro per accedere ai servizi digitali online potremo finalmente sfruttare i sensori biometrici che oramai troviamo su quasi tutti i nostri dispositivi. Non stiamo parlando di un obiettivo lontano nel tempo, ma di un cambiamento imminente.
Il merito è di una tecnologia chiamata Passkey. Annunciata a maggio 2022, è frutto di una inusuale collaborazione fra Google, Microsoft e Apple. Le tre aziende hanno deciso di adottare e integrare uno standard definito dalla FIDO Alliance, un consorzio di settore nato nel 2013 proprio allo scopo di sviluppare e diffondere soluzioni di autenticazione alternative e più sicure rispetto alle tradizionali password.
Le Passkey permettono agli utenti di accedere ai propri account da più dispositivi utilizzando i sistemi di sicurezza biometrica. Semplificando molto, funzionano grazie all’accoppiamento tra una chiave pubblica, che il servizio a cui vogliamo accedere può tenere sui propri server senza alcun rischio, e una chiave privata che invece rimane protetta nell’enclave sicura dei nostri dispositivi. Grazie alla chiave pubblica, il servizio genera un “messaggio segreto”, che la chiave privata può decrittare, comprovando nel processo l’identità dell’utente.
A differenza delle password, le passkey non possono essere intercettate, perché la chiave privata non lascia mai il dispositivo. Inoltre le coppie di chiavi cambiano per ogni account, e quindi anche un eventuale deduzione della chiave basata su una singola compromissione (processo assai difficile e improbabile) comunque non avrebbe effetti sui login ad altri servizi.
Il sistema delle Passkey non si basa su tecnologie completamente nuove, ma la ragione per cui se ne parla proprio ora è legata a due aspetti interconnessi tra loro: l’interesse da parte dei maggiori colossi del tech, e la grande diffusione, adozione e normalizzazione delle soluzioni biometriche commerciali.
La prima azienda ad adottare le Passkey è stata Apple, che ha introdotto il sistema con iOS 16, iPadOS 16 e macOS Ventura, i nuovi sistemi operativi per iPhone, iPad e Mac lanciati a settembre e ottobre 2022. Google ha già annunciato che gli strumenti necessari per l’implementazione delle passkey verranno resi disponibili entro la fine dell’anno. Microsoft, dal canto suo, ha annunciato che le passkey di Apple sono già compatibili con il sistema Microsoft Hello per l’accesso da Web e che presto si potranno utilizzare per l’accesso a un account Microsoft tramite dispositivi iOS o Android.
Sebbene molto più sicure delle password, le Passkey non eliminano del tutto i rischi legati all’accesso ai servizi online. Il peso dell’autenticazione si sposta ora interamente sui sistemi di autenticazione biometrica dei dispositivi. A differenza delle password, il livello di sicurezza è aumentato e il problema del phishing potrebbe quasi del tutto sparire. Tuttavia anche i sistemi di sicurezza biometrica possono avere potenziali falle, che inevitabilmente i “bad actors” troveranno il modo di sfruttare. La differenza importante è l’investimento necessario a “bucare” questi sistemi, generalmente più alto rispetto al banale furto di password.
