La nuova app Password di Apple è sicura solo se lo è il tuo dispositivo, poiché è possibile accedervi utilizzando il codice di accesso del telefono.
While both magic links and passkeys are methods of passwordless authentication, they’re not exactly the same. Some of the key differences between magic links and passkeys are how they work, their security, where a website server stores them and whether or not they expire after being used to log in to an account.
Continua a leggere per scoprire di più sulle differenze e sulle cose in comune dei magic link e delle chiavi di accesso.
Cosa sono i magic link?
I magic link sono un tipo di accesso senza password in cui all’utente riceve un link tramite e-mail o messaggio di testo dopo aver inserito il proprio nome utente o indirizzo e-mail in un portale di accesso. Il link inviato all’utente è noto come magic link. Quando l’utente fa clic sul magic link, accede automaticamente al suo account senza dover inserire una password. I magic link vengono anche comunemente utilizzati come metodo di autenticazione a più fattori (MFA).
Affinché una persona possa accedere a un account utilizzando un magic link, il sito web o l’applicazione deve supportarne l’uso.
Cosa sono le chiavi di accesso?
Le chiavi di accesso sono un tipo di accesso senza password più recente che consente agli utenti di autenticare la propria identità nello stesso modo in cui sbloccano i propri dispositivi, ad esempio mediante impronta digitale, riconoscimento facciale o inserendo un PIN. Le chiavi di accesso sono composte da una chiave pubblica e da una chiave privata, entrambe necessarie per autenticare l’identità di un utente prima di poter accedere al proprio account. La chiave pubblica viene memorizzata nei server aziendale, mentre la chiave privata viene memorizzata localmente sul dispositivo dell’utente. Quando un utente accede al proprio account utilizzando una chiave di accesso, gli verrà chiesto di utilizzare la sua biometria o di inserire il PIN del proprio dispositivo senza dover digitare manualmente una password.
Per poter essere utilizzate, le chiavi di accesso, devono essere supportate dal sito web o dall’app per cui vuoi utilizzarle.
Differenze principali tra magic link e chiavi di accesso
Ecco alcune delle differenze principali tra magic link e chiavi di accesso.
Come funzionano
I magic link e le chiavi di accesso funzionano in modo molto diverso. Quando si utilizza un magic link per accedere a un account, l’utente riceve un link tramite e-mail o messaggio di testo. Una volta fatto clic sul link, l’utente accede al suo account. Spesso, per accedere mediante magic link l’utente deve cambiare momentaneamente scheda, app o dispositivo. Nel caso delle chiavi di accesso, gli utenti non ricevono nessuna e-mail o messaggio di testo. Vengono utilizzati invece la biometria o il PIN del proprio dispositivo per accedere immediatamente all’account.
Sicurezza
In termini di sicurezza, le chiavi di accesso sono forti per impostazione predefinita. Le chiavi di accesso non possono essere facilmente compromesse a differenza dei magic link perché sono costruite sullo standard WebAuthn che utilizza la crittografia a chiave pubblica per autenticare l’identità di un utente. Per accedere a un account con le chiavi di accesso abilitate, l’utente dovrà sempre disporre dell'”autenticatore” per accedere. L’autenticazione è ciò che la persona utilizza per creare la propria chiave di accesso. Può essere un telefono, un tablet, un computer o un password manager.
Al contrario, i magic link potrebbero non essere sicuri. Se l’account e-mail della persona non è protetto con una password forte e l’MFA, un cybercriminale potrebbe essere in grado di compromettere facilmente l’account e accedere a un magic link per accedere all’altro account dell’utente. I magic link inviati tramite messaggio di testo sono inoltre soggetti agli attacchi di SIM swapping. Lo SIM swapping avviene quando un cybercriminale convince il tuo operatore di telefonia mobile ad attivare una nuova scheda SIM. Se un cybercriminale riesce a convincere il tuo operatore di telefonia mobile ad attivare una nuova scheda SIM, sarà in grado di ricevere tutti i messaggi di testo e le telefonate in arrivo, quindi potrà accedere ai tuoi account utilizzando i magic link e i reset delle password inviati al tuo numero di telefono.
Archiviazione
Quando viene creata una chiave di accesso per un sito web o un’app, la chiave pubblica della chiave di accesso viene sempre memorizzata nel server aziendale. È importante capire che anche se il server memorizza la chiave pubblica, tale parte è inutile senza la chiave privata corrispondente memorizzata localmente sul dispositivo dell’utente. Nel caso dei magic link, il token del magic link si trova sui server aziendali solo per un breve periodo di tempo. Una volta trascorso questo tempo, sarà necessario generare un altro token per un nuovo tentativo di accesso.
Scadenza
Quando viene creata una chiave di accesso per un account, tale chiave di accesso non scadrà fino a quando non deciderai di eliminarla. Vengono sempre utilizzate le stesse chiavi private e pubbliche per accedere al tuo account. Questo le differenzia dai magic link che sono solo temporanei e scadono dopo un determinato periodo di tempo. Quando un utente riceve un magic link, questo scadrà una volta che l’utente l’avrà aperto. Alcuni magic link scadono anche dopo un determinato periodo di tempo se aspetti troppo a lungo prima di aprirli, quindi ne dovrai richiedere uno nuovo.
Somiglianze tra magic link e chiavi di accesso
Sebbene vi siano delle differenze tra magic link e chiavi di accesso, ci sono anche delle somiglianze.
Entrambi sono dei tipi di autenticazione senza password
L’autenticazione senza password è un metodo per verificare l’identità di una persona senza l’uso di password per accedere a un account. Sia i magic link che le chiavi di accesso sono tipi di autenticazione senza password che consentono agli utenti di accedere al proprio account e applicazioni online senza dover digitare manualmente una password.
Entrambi possono essere utilizzati come metodi MFA
Sebbene sia i magic link che le chiavi di accesso possano essere impiegati come metodi di accesso, possono anche essere utilizzati come metodi di autenticazione a più fattori. Tuttavia, questo vale a condizione che il sito web o l’app supporti l’uso di magic link e chiavi di accesso. Ad esempio, alcuni siti web potrebbero supportare l’uso delle chiavi di accesso solo come metodo MFA, mentre altri siti potrebbero supportare l’uso delle chiavi di accesso sia come metodo di accesso che MFA.
Entrambi migliorano l’esperienza di accesso di un utente
Poiché sia i magic link che le chiavi di accesso eliminano la necessità di creare e ricordare le password, offrono un’esperienza di accesso molto più facile. Inoltre, non richiedono agli utenti di reimpostare le password perché sono state dimenticate, eliminando così il rischio di creare password deboli in quanto più facili da ricordare.
Autenticazione senza password con magic link e chiavi di accesso
I magic link e le chiavi di accesso possono essere utilizzati come modi per accedere ai tuoi account senza dover inserire una password. Tuttavia, bisogna comprendere che i magic link possono non essere sicuri, quindi se hai la possibilità di abilitare le chiavi di accesso come metodo di accesso, non solo l’esperienza di login sarà più facile, ma il tuo account sarà anche molto più sicuro. Per scoprire quali siti web e applicazioni supportano attualmente l’uso delle chiavi di accesso come metodo di accesso, consulta la nostra directory delle chiavi di accesso.
Dal momento che non tutti i siti web e le app supportano l’uso delle chiavi di accesso, dovrai comunque creare password forti per alcuni dei tuoi account online. Un password manager come Keeper® può aiutarti a creare password forti e aiutarti a gestire sia le password che le chiavi di accesso.