Cos'è una chiave d'accesso?
- Glossario IAM
- Cos'è una chiave d'accesso?
Una chiave d'accesso è un metodo moderno di autenticazione senza password che utilizza la crittografia a chiave pubblica. Invece di una password, gli utenti si autenticano con una coppia di chiavi crittografiche: una chiave pubblica archiviata dal servizio e una chiave privata archiviata in modo sicuro sul dispositivo dell'utente o in un gestore di password.
L'autenticazione con la chiave d'accesso di solito coinvolge la biometria (come impronta digitale o riconoscimento facciale), un PIN o un pattern di scorrimento, simile allo sblocco di uno smartphone. La maggior parte degli utenti sceglierà la biometria per comodità.
Come funzionano le passkey?
Le chiavi d'accesso funzionano utilizzando la crittografia a chiave pubblica per permettere di accedere a siti web e app senza dover inserire una password tradizionale. Ecco come funzionano, passo dopo passo:
1. Impostazione di una chiave d'accesso
- L'utente accede al proprio account come di consueto.
- Nelle impostazioni di sicurezza, abilita l'opzione di chiave d'accesso.
- L'app o il sito web invita l'utente a salvare una chiave d'accesso legata al proprio dispositivo.
- Se si utilizza un gestore di password, verrà richiesto di generare e memorizzare una chiave d'accesso.
- L'autenticazione biometrica (ad esempio, Face ID, impronta digitale) è richiesta per confermare la configurazione.
- La chiave d'accesso è memorizzata in modo sicuro sul dispositivo o nel gestore di password.
2. Accesso con una chiave d'accesso
- Durante i successivi accessi, l'utente viene invitato ad autenticarsi utilizzando la chiave d'accesso memorizzata.
- Non è necessaria alcuna password, solo la chiave d'accesso.
3. Autenticazione su più dispositivi
- Se l'utente prova a effettuare l'accesso su un dispositivo senza la chiave d'accesso, può identificarsi utilizzando un altro dispositivo.
- Il browser potrebbe mostrare un codice QR da scansionare con un dispositivo mobile per completare l'accesso.
- Il Bluetooth è spesso usato per garantire la vicinanza e la sicurezza durante l'autenticazione tra dispositivi diversi.
- Se usi un gestore di password, puoi accedere alla chiave d'accesso e usarla su più dispositivi.
Chiave d'accesso e password: qual è la differenza?
Mentre le organizzazioni e le piattaforme adottano le chiavi d'accesso, è importante capire come si differenziano dalle password tradizionali e perché rappresentano un notevole progresso nella sicurezza digitale e nell'esperienza dell'utente.
Ecco le principali differenze tra chiavi d'accesso e password:
Processo di creazione
Le password richiedono agli utenti di creare e ricordare manualmente credenziali forti e uniche, il che può essere complicato. Le chiavi d'accesso, tuttavia, vengono generate automaticamente, il che significa che gli utenti non devono preoccuparsi di creare o ricordare nulla. Una volta configurate, gli utenti possono accedere facilmente utilizzando il loro dispositivo o un gestore di password.
Resistenza al phishing
Le password sono vulnerabili al phishing perché gli utenti le inseriscono manualmente, rendendole suscettibili a siti Web falsi. Le chiavi d'accesso, d'altra parte, sono resistenti al phishing. Dato che non c'è nulla da inserire, i criminali informatici non possono rubare i dati di accesso tramite attacchi di phishing.
Rischio di compromissione
Le password sono facilmente compromesse, specialmente se gli utenti le riutilizzano o scelgono password deboli. Se una password viene rubata, può essere usata subito da un hacker. Le chiavi d'accesso, tuttavia, sono più sicure. La chiave privata non viene mai memorizzata sul server; quindi, anche se il server viene compromesso, la chiave pubblica da sola è inutile senza la chiave privata.
Supporto del sito web
Mentre le password sono universalmente supportate, le chiavi d'accesso stanno ancora venendo adottate. I principali siti web come Apple, Google e PayPal ora le supportano, ma molti siti si affidano ancora alle password. Per vedere quali siti supportano le chiavi d'accesso, dai un'occhiata alla Directory delle chiavi d'accesso di Keeper.
| Chiave d'accesso | Password |
|---|---|
| Generato automaticamente | Generato dall'utente |
| Resistente al phishing | Vulnerabile alle minacce di phishing |
| Non può essere facilmente compromesso | Facilmente da compromettere se debole |
| Attualmente supportata su un numero limitato di siti web | Supportata su tutti i siti web |
Vantaggi dell'utilizzo delle chiavi d'accesso
Le chiavi d'accesso offrono diversi vantaggi, fornendo un modo più sicuro e fluido per autenticarsi online.
Maggiore sicurezza
La maggior parte delle persone ha difficoltà con le best practice delle password, spesso scegliendo password brevi e facili da indovinare, riutilizzando le password su più siti o archiviandole in modo non sicuro. Le chiavi d'accesso risolvono questo problema perché vengono generate automaticamente e sono uniche per ogni account.
Inoltre, le chiavi d'accesso utilizzano la crittografia a chiave pubblica. Una chiave privata è memorizzata in modo sicuro sul dispositivo dell'utente o in un gestore di password, mentre la chiave pubblica è salvata dal servizio. Quando accedi, la chiave privata dimostra la tua identità senza essere condivisa. Ciò significa che anche se il server viene violato, i criminali informatici ottengono solo la chiave pubblica, che è inutile senza la chiave privata, rendendo le chiavi di accesso molto più sicure delle credenziali tradizionali.
Autenticazione a due fattori (2FA) integrata
A differenza delle password, che molti utenti non riescono a proteggere con la 2FA, le chiavi d'accesso sono intrinsecamente protette da essa. Per utilizzare una chiave d'accesso, hai bisogno sia di un dispositivo unico (il dispositivo di autenticazione) sia di una caratteristica unica (autenticazione biometrica). Questa 2FA integrata rende le chiavi d'accesso più sicure delle password tradizionali, che spesso mancano di protezione aggiuntiva.
Resistente al phishing
Uno dei principali vantaggi delle chiavi d'accesso è la loro resistenza al phishing. Poiché le chiavi d'accesso non richiedono agli utenti di inserire manualmente le loro informazioni di accesso, i cybercriminali non possono ingannarli facendoli inserire le loro credenziali su un sito web fraudolento. Ciò significa che le chiavi d'accesso non possono essere rubate tramite attacchi di phishing, a differenza delle password, che sono spesso prese di mira.
Svantaggi e limitazioni
Sebbene le passkey offrano molti vantaggi, ci sono ancora alcune limitazioni:
Il supporto del sito web rimane incompleto
Anche se stanno diventando sempre più popolari, le chiavi d'accesso non sono ancora supportate da tutti. Molti siti web e applicazioni più piccoli o legacy si affidano ancora alle password, il che significa che spesso gli utenti devono gestire entrambi i sistemi in parallelo. Secondo la FIDO Alliance, circa il 48% dei 100 principali siti web ora supporta le chiavi d'accesso, evidenziando un forte slancio, ma non una copertura totale.
La dipendenza dal dispositivo esiste ancora
Le chiavi di accesso sono in genere legate a dispositivi o ecosistemi specifici. Se un utente perde l'accesso a un dispositivo, potrebbe avere difficoltà ad accedere agli account a meno che le passkey non siano sincronizzate o trasferite. Un modo per prevenire ciò è conservare le chiavi d'accesso in un gestore di password come Keeper.
L'adozione nei vari servizi è in corso
Sebbene lo slancio sia forte, la maggior parte delle persone usa ancora le password come metodo di accesso predefinito. Gli utenti dovrebbero aspettarsi di mantenere un gestore di password o una strategia di backup per il prossimo futuro, dato che il passaggio a un mondo senza password è ancora in corso.
Il futuro delle chiavi d'accesso
Sebbene le chiavi di accesso abbiano il potenziale per sostituire le password, non elimineranno la necessità di gestori di password. Anzi, potrebbero renderli ancora più importanti.
Questo è perché le chiavi d'accesso sono legate a un autenticatore, che può essere:
- Un dispositivo, come uno smartphone, un tablet o un laptop
- Un gestore di password che supporta le chiavi di accesso
A prima vista, usare uno smartphone come autenticatore principale sembra conveniente; dopotutto, la maggior parte delle persone porta il proprio telefono ovunque. Ma in realtà, affidarsi solo a un dispositivo può diventare scomodo, soprattutto per gli utenti che passano da un dispositivo all'altro.
Ad esempio, se tenti di accedere da un laptop o tablet senza avere il telefono vicino, dovrai:
- Generare un codice QR sul dispositivo che usi
- Scansionarlo con il tuo smartphone (l'autenticatore)
- Confermare la tua identità utilizzando dati biometrici come Face ID o impronta digitale
Questo ulteriore problema evidenzia i vantaggi dell'utilizzo di un gestore di password che supporti la sincronizzazione delle password tra dispositivi. Keeper, che supporta le chiavi di accesso da diversi anni, semplifica la procedura di accesso collegando le chiavi di accesso all'applicazione anziché affidarsi esclusivamente a un dispositivo fisico. Questo approccio rende l'accesso agli account su più dispositivi molto più facile e fluido.
