Passkey android
Android > Android&cellulari
Proteggere uno smartphone, generalmente richiede l'inserimento di un PIN, una sequenza di 4 o più punti o una password alfanumerica (numeri e lettere).
La passkey (pronuncia: passki) è un metodo di autenticazione alternativo alle solite password, più semplice e sicuro.
Di fatto è un sistema di autenticazione basato su chiavi crittografate. Cosa si intende per chiavi crittografate?
Una procedura che rende un messaggio non leggibile se non attraverso procedure di sblocco.
Queste procedure di sblocco usano i dati biometrici della persona (scansione del volto o dell'impronta del dito) o il blocco dello schermo del tuo smartphone (con un PIN).
Una passkey risolve i problemi di autenticazione a più fattori con un solo passaggio andando a sostituire sia la password sia il codice OTP.
Pensiamo ad una porta che per essere aperta deve avere due chiavi: una in mano nostra e una in mano ad un altra persona.
Solo inserendo in contemporanea le due chiavi la porta si apre. Questo, semplificando al massimo, è il procedimento delle passkey.
In pratica le passkey hanno due chiavi per fare il login nei vari siti: una chiave pubblica e una privata.
La chiave privata è salvata sul nostro cellulare e nessuno la conosce.
La chiave pubblica è salvata sul server del sito dove vogliamo accedere.
Google e altri colossi hanno deciso di passare, nel futuro prossimo, a questo sistema e noi utenti, forse, dovremmo adeguarci. Attualmente il sistema è più sicuro delle password ma non completamente privo di rischi.
Pratica
Funzionamento teorico
Vediamo cosa succede con le passkey.
Vogliamo entrare in Gmail:
- Ci rechiamo nel sito di Gmail.
- Richiediamo di fare il login.
- Viene inviato una richiesta di autenticazione al nostro cellulare (chiave pubblica)
- Facciamo l'autenticazione della nostra persona, attraverso i dati biometrici del nostro cellulare per attivare la chiave privata.
- Il cellulare invia la nostra chiave privata crittografata (protetta) al sito di Gmail che verifica attraverso la chiave pubblica depositata nei suoi server se le due chiavi combaciano.
- Se l'esito è positivo avremo accesso al sito altrimenti l'accesso sarà negato.
Con questo sistema, come detto, si evitano problemi di phishing e di attacchi di forza bruta.
Abbastanza semplice.
Sicurezza.
La passkey si trova sul tuo cellulare e non possono essere rubate e trasferite ad altro cellulare. Di fatto tu dimostri di essere la persona che possiedi fisicamente il cellulare dove hai attivato la passkey e sei in grado di sbloccarlo.
Con le passkey non può esserci attacchi di phishing perché non ci sono password da digitare.
La probabilità di attacchi di forza bruta sono ridotti a valori infinitesimali perché considerando le due chiavi separate di accesso trovare la combinazione esatta è quasi impossibile se non remota.
In caso di furti di vari database ruberebbero solo una parte della chiave perché le due chiavi sono memorizzate su due posti fisicamente diversi.
Problemi legati alle password
Principali fattori di rischio delle password:
- Di solito, si creano password facilmente individuabili
- Le password sono soggette a attacchi di phishing
- Attacchi di forza bruta (un sistema per svelare le password)
Archiviazione a due fattori risolve molti dei fattori legate alle password ma non sono completamente sicuri perché, comunque, non difficili da superare per degli esperti di informatica.
Sistema FIDO
I giganti del web (microsoft, google e apple) hanno creato un sistema di autenticazione (FIDO) indipendente dalle password ovvero le passkey.
Prima delle passkey dovevi inserire un nome utente e una password. In alcuni casi dovevi aggiungere anche un altro codice (autenticazione a due fattori) generato da un'altra App.
Ora tutto questo viene superato. Una passkey con un solo passaggio sostituisce sia la password sia il codice OTP.
Limiti delle Passkey
Attualmente le passkey sono supportate solo da alcuni siti web e App che utilizzano ilo standard FIDO.
Se perdessi il cellulare cosa accadrebbe? Un grande problema. Tutte le passkey associate a quel dispositivo non funzionerebbero più.
Ma ci viene incontro la possibilità di fare un backup sul Cloud, spesso, in automatico dal gestore del sito dove abbiamo attivato la passkey (p.e. Google, Microsoft, etc.)
Che garanzie si hanno che tali Cloud non vengano violati? Questo torna ad essere un problema.
Nel Cloud dovrebbero essere salvati anche i dati biometrici delle persone. Impronte digitali e riconoscimento facciale verranno raccolti per il funzionamento delle passkey. Quali conseguenze per la privacy?
Cosa fare se non ci fidiamo?
Si può ricorrere a delle chiavette USB certificate FIDO che di fatto sostituiscono l'autenticazione del cellulare e il salvataggio nel Cloud (ottimo video di spiegazione by Matteo Virgilio)
Di fatto salviamo su una chiavetta la nostra chiave privata e facciamo il backup su una seconda chiavetta.
Come faccio ad attivare una passkey?
Prima di tutto crea passkey solo su cellulari personali e che usi solo tu.
Vediamo operazione su google - Gmail
Per creare una passkey per un sito web entra nel sito web come al solito.
- Generalmente vai nella sezione sicurezza delle impostazioni.
- Crea una passkey
- Verifica le info che vengono memorizzate con la passkey
- Usa lo sblocco dello schermo per creare la passkey.
- Puoi usare comunque in contemporanea sia passkey che password.
- Disabilita la voce salta la password quando è possibile.
Informazioni extra ...
Prendere seriamente in considerazione, in caso di furto, la necessità di denunciare il tutto alle autorità.