Esiste una internet priva di password? Dove non dobbiamo sbizzarrirci nel crearne una a prova di hacker, con lettere, numeri e simboli, da cambiare a ogni iscrizione? La risposta è si e quel futuro prende il nome di Passkey.
Il sistema di Apple è stato presentato nel corso dalla WWDC 2022 e accoglie quelli che sono degli standard del settore. Chi teme che come “Sign in with Apple” il sistema funzioni solo con i dispositivi Apple, questa volta riceverà una buona notizia.
Apple ha infatti deciso di accogliere la via indicata da Fido Alliance. Consorzio nel quale troviamo, per esempio, nomi come Google e Microsoft. Quindi il sistema sarà compatibile con tutti i dispositivi e non solo nell’ecosistema Apple. Ma come funziona?
Indice dei contenuti
Come funziona Passkey
Al centro del sistema c’è un sistema passwordless, cioè privo di password. Quando un utente vorrà iscriversi in un sito non dovrà più fornire una email e una password. Potrà al massimo indicare una email1 o un nome. La password non serve più.
Il processo prevede di creare una stringa di codice in automatico a ogni iscrizione e salvarla cifrata nel dispositivo. Quindi il server del servizio che richiede l’autenticazione non ottiene informazioni sulla password, ma semplicemente la risposta positiva dal SSO (Single Sign-On).
Questo permette di evitare di mandare la propria password in giro. Se gli hacker ruberanno il database di un sito non potranno mai ottenere le password dell’utente perché queste non esistono2.
Sistema che funziona anche contro la truffa del phishing: quei siti che si fingono siti veri, ma che in realtĂ hanno come unico scopo trarre in inganno gli utenti e convincerli a inserire la propria password per rubarla.
L’utilità di Passkey
Passkey consente quindi di archiviare i propri accessi sul proprio dispositivo in modo sicuro. Se si cambia un dispositivo, magari passando da un iPhone a un telefono Android o viceversa, esiste anche una procedura che usa un QR code per migrare le password sul nuovo dispositivo compatibile con il sistema di Fido Alliance.
I nostri accessi saranno sincronizzati in modo sicuro su tutti i nostri dispositivi collegati a iCloud, mediante la comunicazione end-to-end dei dati e decifrati solo una volta caricati sul dispositivo mediante il chip Secure Enclave.
Il sistema attualmente è stato integrato nelle versioni beta di iOS 16, iPadOS 16 e macOS Ventura. Se volete testarlo esiste questo sito creato da Fido Alliance che integra già le API necessarie.
Le API di Passkey
Un po’ come è avvenuto con “Sign In with Apple”, che tra l’altro incontro sempre più spesso nei siti e nelle app, anche per Passkey c’è bisogno che gli sviluppatori integrino le API dedicate nelle loro app e nei loro siti.
A tal proposito Apple ha già fornito la documentazione necessaria per farlo già da ora, in modo da essere pronti al lancio di iOS 16 e gli altri sistemi. Nella documentazione ci sono anche riferimenti all’integrazione con le login attuali.
Dalla fine di quest’anno, quindi, potremmo abituarci a non creare una password per ciascun servizio. Anche servizi di gestione password di terzi, come 1Password, sono entrati nella Fido Alliance per aiutare nel creare un mondo passwordless.
- In realtà anche per le password Apple ha una soluzione: Hide my Password presente in iCloud+. Questo servizio consente di creare una email per ciascun servizio che rimandano alla propria email principale senza darne evidenza. ↩
- Le normative recenti obbligano a mantenere le password degli utenti in modo cifrato, anche se spesso si scoprono siti che continuano ad archiviarle in chiaro e queste sono facilmente leggibili nel database. ↩