Attualmente, esiste un modo principale per proteggere l'accesso online: nome utente e password. Tuttavia, anche se creiamo una password lunga, complicata e complessa, rimane comunque un punto debole chiave in questa configurazione di sicurezza: l'utente.
Milioni di persone sono già state vittime di siti di phishing, social engineering e altre forme di attacchi che compromettono le password. Ecco perché Apple vuole rimuovere la password e sostituirla con passkey.
Quindi, in che modo le passkey Apple risolvono il problema della password?
Che cos'è lo standard di autenticazione Web (WebAuthn)?
Questo standard è pubblicato dal World Wide Web Consortium (W3C), un'organizzazione dedicata alla creazione di protocolli e linee guida per lo sviluppo web a lungo termine. Sviluppando questa nuova tecnologia di autenticazione, il gruppo spera di ridurre la nostra dipendenza dalle password come mezzo principale o unico per proteggere i nostri dati.
Apple è anche un membro del W3C e stanno incorporando lo standard WebAuthn nelle passkey Apple. Questa funzione funziona anche con il portachiavi iCloud, quindi le persone che già utilizzano questo servizio non devono migrare il proprio sistema.
Implementando l'API WebAuthn, gli sviluppatori Web e i produttori di dispositivi garantiscono un'autenticazione che funzionerà su diversi sistemi. Quindi, che tu sia su Android, iOS, Mac o Windows, questo sistema senza password dovrebbe funzionare.
In che modo le chiavi di accesso Apple ti tengono al sicuro?
La maggior parte di noi ha fatto affidamento su nome utente e password a un certo punto. Probabilmente lo fai ancora adesso. Ma le password possono essere facilmente violate, soprattutto se l'utente non dispone di una password sicura o se è vittima di ingegneria sociale.
La tradizionale combinazione di nome utente e password significa anche che queste informazioni vengono archiviate online. Quindi, se il servizio che stai utilizzando, come ad esempio Twitch, viene violato, l'attacco compromette i dati e altro ancora. Se riutilizzi il tuo nome utente e password, cosa che molti fanno ma noi sconsigliamo, anche gli altri tuoi account sono a rischio.
Autenticazione a due fattori (2FA) è stato sviluppato per risolvere questo problema. Aggiungendo un altro livello di sicurezza, gli utenti aiutano a prevenire l'accesso non autorizzato ai propri account.
Sebbene questa tecnologia abbia aumentato notevolmente la sicurezza, in particolare contro gli attacchi di forza bruta, molti utenti ne sono ancora vittime attacchi di ingegneria sociale. E mentre gli utenti esperti di tecnologia possono facilmente individuare gli attacchi, quelli che non hanno familiarità potrebbero non essere in grado di farlo individuare i segni di attacchi come truffe di phishing.
Le chiavi di accesso Apple mirano a risolvere questo problema rimuovendo del tutto la password. Quando si accede a un servizio online, non è più necessario digitare nome utente e password. Invece, devi solo utilizzare le funzionalità di sicurezza biometrica del tuo dispositivo, come FaceID o TouchID.
Inoltre, il servizio non è limitato solo all'interno del tuo dispositivo Apple. Puoi utilizzare le passkey sul tuo PC Windows o tablet Android. Finché accedi a un sito Web che implementa l'API WebAuthn, puoi utilizzare le funzionalità biometriche del tuo dispositivo Apple per accedere al tuo account, anche se stai accedendo da un gadget non Apple. È come usare il tuo dispositivo Apple come chiave universale in grado di aprire qualsiasi porta digitale.
Come funzionano le chiavi di accesso Apple?
Invece di tenere insieme nome utente e password online, le chiavi di accesso Apple utilizzare la crittografia asimmetrica. Secondo Pagina di supporto per la sicurezza delle passkey di Apple:
Durante la registrazione dell'account, il sistema operativo crea una coppia di chiavi crittografiche univoche da associare a un account per l'app o il sito Web. Queste chiavi sono generate dal dispositivo, in modo sicuro e univoco, per ogni account.
Una di queste chiavi è pubblica ed è archiviata sul server. Questa chiave pubblica non è un segreto. L'altra chiave è privata ed è ciò che è necessario per accedere effettivamente. Il server non apprende mai qual è la chiave privata. Sui dispositivi Apple con Touch ID o Face ID disponibili, possono essere utilizzati per autorizzare l'uso della passkey, che quindi autentica l'utente all'app o al sito web. Non viene trasmesso alcun segreto condiviso e il server non ha bisogno di proteggere la chiave pubblica.
Quando utilizzi un nome utente e una password, il server conserva il lucchetto (il tuo nome utente) e la chiave (la tua password). Per aprire la serratura, mostri al server che hai una chiave simile e questa ti apre la porta.
Ma con le chiavi di accesso Apple, il server non manterrà mai la chiave. Invece, ti consegna il lucchetto e lo sblocchi tu stesso. E poiché il server ti consegnerà il lucchetto solo se lo possiede fisicamente (cioè i tuoi dati sono effettivamente archiviati nel suo server), gli hack di phishing diventeranno inefficace perché non hanno il lucchetto (cioè non possono chiedere la chiave, perché le passkey Apple la rilasceranno solo se consegnano un valido serratura).
Con questo sistema, solo l'entità valida può richiedere una passkey, assicurando che gli utenti abbiano meno probabilità di cadere vittime di truffe di phishing e altri attacchi di ingegneria sociale. È anche molto più conveniente poiché gli utenti non devono più ricordare una miriade di credenziali di accesso. Tutto ciò di cui hanno bisogno è accedere al loro ID Apple protetto da 2FA.
Un altro esempio di sistema senza password
Mentre Apple potrebbe essere la prima ad essere effettivamente integrata in un sistema operativo per smartphone, non è la prima azienda a implementare sistemi senza password. Se hai un account Microsoft, probabilmente hai riscontrato questa tecnologia.
Se hai impostato accessi senza password con il tuo account Microsoft, puoi accedervi utilizzando l'app Microsoft Authenticator, senza bisogno di nome utente e password. Sebbene sia disponibile principalmente nel browser Microsoft Edge, puoi anche utilizzare Windows Hello o un dispositivo di sicurezza chiave per utilizzare l'app Microsoft Authenticator per accedere al tuo account Microsoft su altri browser come Google Cromo.
Dire addio alle password?
Sebbene i nomi utente e le password abbiano protetto gli utenti per la maggior parte dei 60 anni, potrebbero esserlo avvicinandosi alla fine della loro vita grazie per i migliori sistemi di sicurezza altrove, che sono più facili da usare anche. Man mano che ci iscriviamo a un numero sempre maggiore di servizi, l'idea di memorizzare decine, se non centinaia, di combinazioni di nome utente e password può essere scoraggiante.
Gli hacker stanno anche diventando più sofisticati, consentendo loro di compromettere i dati anche con una maggiore sicurezza. E sebbene l'autenticazione a più fattori abbia in qualche modo aumentato la sicurezza delle credenziali di accesso tradizionali, lascia comunque l'utente come una vulnerabilità significativa.
Con le passkey, possiamo passare da nome utente e password a un futuro più sicuro. E man mano che nuove tecnologie come l'informatica quantistica vengono sviluppate e rilasciate sul mercato, la tradizionale combinazione di nome utente e password rischia di diventare obsoleta dall'oggi al domani.