Questo post é stato letto 120 volte!
Passkey: il sito che elenca i servizi senza supporto passkey
La sfida delle passkey e i servizi online senza supporto passkey
Il panorama della sicurezza online è in costante evoluzione, e le passkey rappresentano una delle risposte più efficaci e moderne al problema annoso delle password.
Queste ultime, infatti, sono spesso rubate, riutilizzate e vulnerabili agli attacchi di phishing, rendendo necessario un cambiamento radicale nelle modalità di autenticazione.
Malgrado l’evidente superiorità delle passkey in termini di sicurezza e praticità, una parte significativa dei grandi servizi online senza supporto passkey continua a non offrire questa opzione agli utenti o, peggio, la relega a un ruolo secondario.
Per affrontare questa problematica, Scott Helme, un noto ricercatore di sicurezza, ha lanciato whynopasskeys.com.
Questo sito web si propone di elencare tutte le piattaforme online che non hanno ancora adottato le passkey, seguendo un approccio simile a quello del suo precedente progetto, Why No HTTPS.
L’obiettivo è chiaro: esercitare una pressione pubblica affinché l’adozione delle passkey diventi una priorità per tutti i fornitori di servizi digitali.
I dati iniziali del progetto sono eloquenti: il 28% dei 25 siti globali più visitati, inclusi giganti come Instagram, Netflix e Spotify, non sono ancora compatibili con le passkey.
Questo evidenzia una lacuna significativa, soprattutto considerando che si tratta di piattaforme con milioni di utenti, che dovrebbero essere all’avanguardia nella protezione dei dati.
Come le passkey rivoluzionano l’accesso online
Le passkey non sono semplici password più lunghe o codici temporanei.
Si basano sulle specifiche FIDO2 e WebAuthn, utilizzando la crittografia a chiave pubblica.
Durante la registrazione, il dispositivo dell’utente genera una coppia di chiavi: una pubblica, conservata dal servizio, e una privata, che rimane sul dispositivo o nel gestore di passkey dell’utente.
Questa chiave privata non viene mai trasmessa al sito, eliminando il rischio di intercettazione.
Quando un utente tenta di accedere, il server invia una sfida crittografica.
Il dispositivo la firma usando la chiave privata solo dopo una verifica locale, come l’impronta digitale, il riconoscimento facciale, il PIN del sistema o una chiave di sicurezza fisica.
Il sito verifica quindi la firma con la chiave pubblica precedentemente registrata.
In questo modo, non esiste un “segreto” condiviso che possa essere rubato o memorizzato in un database vulnerabile.
I vantaggi delle passkey contro gli attacchi informatici
Le passkey eliminano alla radice diverse tipologie di attacco.
Ad esempio, nel caso di phishing, il browser e l’autenticatore associano la credenziale al dominio corretto.
Questo significa che una passkey non funzionerà su una piattaforma diversa da quella a cui è destinata, rendendo inefficaci le pagine false create dai criminali.
Allo stesso modo, una violazione del database del servizio non compromette le passkey, poiché il server detiene solo chiavi pubbliche, non credenziali utilizzabili per accedere e rubare identità.
Webauthn, fido2 e il ruolo del dominio nella sicurezza
La tecnologia alla base delle passkey è WebAuthn, uno standard W3C che permette alle applicazioni web di gestire credenziali a chiave pubblica tramite il browser.
Le operazioni principali avvengono attraverso le funzioni del browser navigator.credentials.create() per la registrazione e navigator.credentials.get() per l’autenticazione.
Il browser comunica in modo sicuro con un autenticatore, che può essere integrato nel dispositivo (TPM, Secure Enclave) o un dispositivo esterno (chiavetta USB, NFC, Bluetooth) tramite i protocolli CTAP di FIDO2.
È importante distinguere tra le diverse implementazioni delle passkey.
Un servizio può offrire un accesso completamente passwordless, eliminando del tutto la necessità della password.
Oppure può usare la passkey come secondo fattore di autenticazione, mantenendo la password come primo passaggio.
Quest’ultima opzione, sebbene rafforzi la sicurezza, non elimina completamente i rischi legati alla password.
Why no passkeys: uno strumento per promuovere l’adozione
Why No Passkeys offre una lista pubblica dei siti più popolari che supportano o meno le passkey, con classifiche globali e per Paese.
Questo permette di valutare la diffusione dell’adozione delle passkey a livello geografico.
Se grandi aziende come Google, Apple e Microsoft promuovono attivamente le passkey, milioni di utenti inizieranno a considerarle uno standard.
Al contrario, la mancanza di supporto da parte di piattaforme come Instagram o Netflix invia un messaggio implicito di opzionalità, rallentando l’adozione.
Il sito distingue anche tra supporto passwordless e uso come autenticazione a due fattori, fornendo un quadro più completo della maturità delle piattaforme.
Per le liste globali e statunitensi, Helme si basa su Cloudflare Radar, mentre per le classifiche per Paese utilizza Tranco.
Limiti e sfide delle passkey
Nonostante i numerosi vantaggi, le passkey non sono una soluzione perfetta.
Aumentano notevolmente la resistenza al phishing, ma non eliminano tutti i rischi.
Se un dispositivo viene compromesso da malware, se il processo di recupero dell’account è debole o se l’assistenza clienti può essere ingannata tramite social engineering, la sicurezza può essere ancora compromessa.
Ad esempio, un aggressore potrebbe tentare di ottenere la rimozione della passkey o il ripristino dell’accesso fingendosi il proprietario dell’account.
Un altro aspetto cruciale è la sincronizzazione.
Molte passkey moderne sono multi-device e possono sincronizzarsi tramite provider come Apple, Google, Microsoft o gestori di password di terze parti.
Questa funzionalità è essenziale per evitare che il primo accesso su un nuovo dispositivo richieda ancora password tradizionali.
Tuttavia, la sincronizzazione introduce anche scelte di fiducia: l’utente deve comprendere dove risiedono le credenziali, come sono protette e come recuperarle in caso di perdita dell’account principale.
Per le aziende, l’implementazione corretta delle passkey richiede attenzione e risorse. È necessario progettare attentamente l’enrollment, la revoca, il cambio dispositivo, il recupero account, la gestione delle chiavi hardware, le policy per utenti ad alto rischio, la telemetria sugli errori di autenticazione e i test su diversi browser.
Una passkey mal integrata, pur non essendo necessariamente insicura, può creare frustrazione negli utenti, spingendoli a cercare scorciatoie e alternative meno sicure.
Questo post é stato letto 120 volte!