Mentre debutta Microsoft passkey per gli account personali su Windows, Google e piattaforme Apple, Google svela che oltre 400 milioni di account hanno già adottato l’autenticazione via passkey.
“Il progetto Passkeys è stato presentato ormai due anni fa durante il World Password Day del 5 maggio 2022”, commenta Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit: “Lo annunciarono Apple, Microsoft e Google, assieme alla FIDO Alliance nel cui ambito questo progetto è stato sviluppato. Quindi, a distanza di due anni, è logico attendersi che le aziende che l’hanno creato siano quelle che maggiormente ne spingono l’adozione”.
“L’abbandono delle password, ove possibile, in particolare a favore di metodi che facciano uso di challenge crittografici è sempre un’ottima notizia”, aggiunge Giuseppe Dongu, Advisory Operations Leader – Tinexta Cyber: “Credo che le password ormai abbiano dimostrato di essere un meccanismo fallace, che riflette la fallacia umana: avere un metodo che non faccia affidamento sulla parte umana, ma sulla capacità crittografica della macchina, permettendo anche una portabilità, è certamente un improvement importante”.
Ecco come funziona e quali sono i punti di forza della nuova misura passwordless per rendere le credenziali più sicure nell’era degli attacchi all’identità.
Indice degli argomenti
Autenticazione via passkey: l’annuncio di Microsoft per gli account personali
Ormai abbiamo tutti sviluppato la consapevolezza che tutti i sistemi di autenticazione sono a rischio vulnerabilità se si basano solo sulle password, anche se queste rappresentano il primo baluardo di difesa, da scegliere e gestire con estrema cura.
Adesso gli utenti di Windows possono effettuare l’accesso ai propri account Microsoft consumer sfruttando una chiave d’accesso, per consentire agli utenti di autenticarsi con metodi senza password come Windows Hello, chiavi di sicurezza FIDO2, dati biometrici (scansioni facciali o impronte digitali) o PIN del dispositivo.
“Anche Microsoft che, con Windows ha la leadership dei sistemi operativi”, sottolinea Giorgio Sbaraglia, “sta spingendo gli utenti verso questa modalità di autenticazione”.
Gli account consumer di Microsoft, per i quali arriva l’autenticazione via passkey, sono gli account personali per accedere ai servizi e ai prodotti Microsoft come Windows, Office, 365, Outlook, One Drive, Copilot e Xbox Live.
“Il fatto che abbia scelto di rendere passkey attivabile anche per gli account Microsoft consumer è molto positivo“, conferma Sbaraglia, “perché per scelte commerciali (opinabili) Microsoft ha spesso penalizzato le funzionalità di Windows Home rispetto a quelle di Windows Professional”.
Microsoft ha annunciato il nuovo supporto per le passkey nell’ambito della Giornata mondiale della password per aumentare la sicurezza contro gli attacchi di phishing, con l’obiettivo di eliminare del tutto le password in futuro.
“È interessante seguire questa ulteriore evoluzione di Microsoft verso un mondo universalmente passwordless”, spiega Marco Capelli, Implementation Service Operations Director- Tinexta Cyber.
Microsoft aveva già aggiunto a Windows il supporto per le chiavi d’accesso ai siti web e alle applicazioni. Ma con il supporto aggiuntivo per gli account Microsoft, i consumatori possono ora accedere facilmente senza inserire la password.
“Permettere anche agli utenti privati di autenticarsi con metodi privi di password come Windows Hello, chiavi di sicurezza FIDO2 o autenticatori biometrici (in pratica gli smartphone)”, conferma Sbaraglia, “è un passo avanti verso un mondo passwordless”.
Come fare per utilizzare l’autenticazione via passkey
Per utilizzare i passkey per gli account Microsoft, occorre innanzitutto crearne uno e selezionare la prima opzione (riconoscimento facciale, impronta digitale, PIN o chiave di sicurezza).
Quando si accede all’account Microsoft, basta selezionare “Altri modi per accedere”. Si sceglie “Volto, impronta digitale, PIN o chiave di sicurezza”, quindi si seleziona la chiave di accesso salvata in precedenza dall’elenco.
Il dispositivo apre una finestra di sicurezza che gestisce il processo di autenticazione con il metodo desiderato.
Piattaforme supportate
Quindi, è necessario seguire le istruzioni sul dispositivo per finalizzare la creazione di una nuova passkey.
Le piattaforme attualmente supportate sono:
- Windows 10 e versioni successive;
- macOS Ventura e versioni successive;
- browser Apple Safari 16 o versioni più recenti;
- ChromeOS, Chrome, Microsoft Edge 109 e versioni successive;
- iOS 16 e versioni successive
- Android 9 e versioni successive.
I numeri di Google passkey
Recentemente Google ha annunciato che i passkey sono utilizzati da oltre 400 milioni di account della BigG, autenticando gli utenti più di un miliardo di volte negli ultimi due anni.
“Sono cifre che non sorprendono come non sorprende che l’autenticazione con passke abbia superato il totale delle forme tradizionali di autenticazione a due fattori”, spiega Giorgio Sbaraglia, “come le one-time password (OTP) via SMS o generate da app. Poiché la MFA non è – purtroppo – ancora così diffusa, possiamo supporre che a migrare verso i passkey siano stati gli utenti più evoluti che già avevano attivata la MFA, mentre c’è ancora una grande parte di utenti Google che utilizzano ancora l’autenticazione con la sola password”.
“I passepartout sono facili da usare e resistenti al phishing, in quanto si basano solo su un’impronta digitale, una scansione del volto o un pin, il che li rende più veloci del 50% rispetto alle password”, ha dichiarato Heather Adkins, vicepresidente del settore sicurezza di Google.
Il colosso di Mountain View sottolinea che i passkeys per l’autenticazione su Google Accounts sono più popolari delle forme tradizionali di autenticazione a due fattori, come le one-time password (OTP) via SMS e le OTP basate su app messe insieme.
Inoltre, l’azienda ha dichiarato che sta espandendo la protezione cross-account, che avverte di eventi sospetti con app e servizi di terze parti collegati all’account Google di un utente, per includere più app e servizi.
Google dovrebbe anche supportare l’uso di passkey per gli utenti ad alto rischio come parte del suo Advanced Protection Program (App), che punta a salvaguardare le persone da attacchi mirati a causa di chi sono e cosa fanno. Tra questi spiccano lavoratori e candidati alle campagne elettorali, giornalisti ed attivisti per i diritti umani.
Mentre in precedenza il programma App richiedeva l’uso delle chiavi di sicurezza hardware come secondo fattore, ora consentirà l’iscrizione con qualsiasi passkey insieme alle chiavi di sicurezza hardware. Oppure le utilizzerà come unico metodo di autenticazione.
Cos’è e come funziona passkey
I passkey sono una forma di autenticazione senza password che utilizza una coppia di chiavi crittografiche in cui la chiave pubblica è memorizzata sul server del fornitore di servizi e la chiave privata è memorizzata in modo sicuro sul dispositivo dell’utente.
Durante i tentativi di autenticazione, s’innesca una sorta di “sfida” che richiede la chiave privata per la risoluzione e la conferma dell’identità dell’utente. Poiché la chiave privata è protetta da meccanismi di sicurezza a livello di dispositivo, come la biometria o il PIN, l’utente deve solo fornire questi dati per effettuare l’accesso.
Poiché i passkey non comportano la condivisione di una password che può essere intercettata o può essere oggetto di furto, e sono in genere legati a un particolare dispositivo, sono intrinsecamente resistenti al phishing.
Inoltre, eliminano la necessità per gli utenti di ricordare e inserire le password, cosa che spesso porta a pratiche rischiose, e da evitare, come il riciclo di vecchie password o l’utilizzo di password deboli, facili da indovinare.
Infine, i passkey sono compatibili con diversi dispositivi e sistemi operativi, rendendo il processo di autenticazione privo di attriti.
“La diffusione di meccanismi di autenticazione crittografica forte, intrapresa sin dalla introduzione delle passkey”, evidenzia Fabrizio Vacca, MSS Operations Director Tinexta Cyber, “mi sembra un passo che va nella direzione giusta. Il tema si sposta verso la corretta protezione degli endpoint per prevenire rischi di leakage delle componenti crittografiche private“.
Google ha adottato passkey nel dicembre 2022. Microsoft lo ha integrato su Windows 11 nel settembre 2023.
“Per una completa transizione verso quello che ho definito un ‘mondo passwordless'”, ricorda infine Sbaraglia, “non basta la spinta di Google, Microsoft ed Apple, che peraltro gestiscono alcuni degli account più importanti utilizzati dagli utenti. Affinché questi utenti abbandonino completamente le password (che usano molto spesso in modo non corretto!) servirà che il passkey venga adottato da tutti i servizi web“.
1Password, Amazon, Apple, Dashlane, Docusign, eBay, Kayak, Microsoft, PayPal, Shopify, Uber e WhatsApp sono alcune delle altre importanti aziende che hanno adottato i passepartout.
“1Password, uno dei password manager più famosi (e a mio parere tra i migliori)”, conferma Sbaraglia, “mette a disposizione il sito in cui elenca tutti i siti web che già supportano l’autenticazione con passkey. Ad oggi sono 148, un numero certamente significativo che comprende anche siti come Adobe, Bmw, Coinbase, LinkedIn, Nvidia, Yahoo e molti altri”.
“Mancano, però, Facebook e Instagram (dove sarebbero molto utili, visti i rischi di furto per questi account social) e tanti altri. Quindi, il percorso è avviato, ma il traguardo è ancora lontano, a mio parere”, conclude Sbaraglia.
Criticità ancora aperte nell’autenticazione via passkey
Microsoft sincronizza le chiavi d’accesso con gli altri dispositivi, anziché memorizzare chiavi d’accesso distinte su ciascun dispositivo. Ciò, tuttavia, non è il metodo più sicuro, perché se un malintenzionato riesce ad accedere a un account, riuscirebbe a sincronizzare le chiavi di accesso sul proprio dispositivo.
Dunque, per evitare questa criticità, “rimane importantissima la formazione e l’educazione di qualsiasi utente alla gestione corretta delle proprie credenziali e dei propri dispositivi, perché essere passwordless non vuol dire essere esenti da rischi”, conferma Marco Capelli.
