Cos'è una chiave d'accesso?
- Glossario IAM
- Cos'è una chiave d'accesso?
Una chiave d'accesso è una moderna tecnologia di autenticazione senza password che consente agli utenti di accedere agli account e alle app usando una chiave crittografica al posto di una password. La chiave d'accesso usufruisce dei metodi biometrici (impronta digitale, riconoscimento facciale, ecc.) per confermare l'identità dell'utente.
Che differenza c'è tra una chiave d'accesso e una password?
Nonostante sembrino simili, le chiavi d'accesso e le password sono molto diverse fra loro.
Cos'è una password?
La password è una stringa di caratteri che gli utenti devono fornire quando effettuano l'accesso a un sito web o a un'app, solitamente in concomitanza a un nome utente. Per evitare violazioni dei dati e appropriazione di account, il NIST raccomanda che le password abbiano le seguenti caratteristiche:
- Una lunghezza di almeno otto caratteri
- La possibilità di usare tutti i caratteri speciali, ma senza requisiti particolari sul loro utilizzo
- L'utilizzo limitato di caratteri sequenziali o ripetitivi (es. 12345 o aaaaaa)
- L'utilizzo limitato di password di un contesto specifico (es. il nome del sito)
- L'utilizzo limitato di password molto gettonate (es. qwerty, password123) e di parole tratte dai dizionari
Cos'è una chiave d'accesso?
Una chiave d'accesso è una nuova tecnologia di autenticazione che utilizza la crittografia con chiavi pubbliche per consentire agli utenti di effettuare l'accesso a siti web e app senza dover inserire una password. Al contrario, gli utenti si autenticano nello stesso modo in cui sbloccano il proprio cellulare o il tablet: con l'impronta digitale, con il riconoscimento facciale o con altri metodi biometrici; usando un modello di scorrimento; oppure inserendo un PIN. Per comodità, la maggior parte delle persone sceglie l'autenticazione biometrica.
Invece di creare una password per effettuare l'accesso a un account, gli utenti generano una chiave d'accesso (che in realtà è un abbinamento tra una chiave privata e una chiave pubblica) usando un "autenticatore", il quale può essere un dispositivo, come uno smartphone o un tablet, un browser web o un gestore di password che supporta tale tecnologia.
Prima di generare una chiave d'accesso, l'autenticatore richiederà all'utente di identificarsi usando un PIN, un modello di scorrimento o un metodo biometrico. L'autenticatore invierà quindi la chiave pubblica (approssimativamente equivalente a un nome utente) al server web dell'account perché venga conservato mentre l'autenticatore conserverà al sicuro la chiave privata a livello locale. Se l'autenticatore è uno smartphone o altro dispositivo, la chiave privata verrà conservata nella keychain del dispositivo. Se l'autenticatore è un gestore di password, la chiave privata verrà conservata nella cassetta di sicurezza crittografata del gestore di password.
Come funziona la chiave d'accesso?
Per creare una nuova chiave d'accesso, l'utente accede al proprio account come fa di solito e poi abilita l'opzione della chiave d'accesso nella schermata delle impostazioni di sicurezza del sito web o dell'app. Il sito web o l'app richiederà quindi all'utente di salvare una chiave d'accesso associata al proprio dispositivo. Il browser web o il sistema operativo richiederà poi l'autenticazione biometrica per approvare la richiesta e la chiave d'accesso verrà conservata a livello locale.
Per gli accessi successivi al sito web, all'utente verrà richiesto di utilizzare una chiave d'accesso del proprio dispositivo per accedere, e non una password. Se il browser web supporta la sincronizzazione delle chiavi d'accesso tra dispositivi, la chiave d'accesso sarà disponibile su quei dispositivi.
Se l'utente sta usando un dispositivo che non ha una chiave d'accesso per il sito web o per l'app, potrebbe avere la possibilità di usare un altro dispositivo. Se il browser supporta l'autenticazione su più dispositivi, il browser potrebbe visualizzare un codice QR che l'utente può scansionare con un dispositivo mobile per completare l'accesso. L'autenticazione su più dispositivi riguarda anche l'utilizzo della tecnologia Bluetooth per garantire la prossimità.
Ecco cosa vede l'utente finale. Diamo un'occhiata a ciò che succede "dietro le quinte", a livello del server. Quando un utente finale tenta di accedere al proprio account con una chiave d'accesso, il server dell'account invia una "sfida" all'autenticatore, ovvero una stringa di dati. L'autenticatore utilizza la chiave privata per risolvere tale sfida e invia una risposta. Questa procedura è nota come "firma" dei dati e verifica l'identità dell'utente.
Da notare che, durante tale procedura, il server dell'account non richiede mai l'accesso alla chiave privata dell'utente, il che significa che non avviene alcuna trasmissione di dati sensibili. Ciò è possibile perché la chiave pubblica (conservata dal server) è legata matematicamente alla chiave privata. Il server necessita soltanto della chiave pubblica e dei dati firmati per verificare che la chiave privata appartiene all'utente.
Le chiavi d'accesso sono più sicure?
Le chiavi d'accesso sono più sicure delle password per tutta una serie di motivi:
- Affinché le password funzionino, i server degli account devono conservarle (o conservare almeno i relativi hash) in modo da poter confrontare i dati memorizzati con la password inserita dall'utente. Come già detto nella sezione precedente, la tecnologia della chiave d'accesso non richiede che i server degli account conservino le chiavi private degli utenti, ma soltanto le loro chiavi pubbliche. Se il server dell'account viene violato, i malintenzionati avranno accesso soltanto alle chiavi pubbliche, le quali risulteranno inutili senza le relative chiavi private.
- La maggior parte delle persone adotta una scarsa protezione attiva per le proprie password. Utiliza password troppo corte, oppure che contengono parole prese dal dizionario, o informazioni biografiche facili da indovinare. Riutilizza le password su più siti e invece di avvalersi di un gestore di password, conserva le proprie password su foglietti volati o in file di testo non crittografati. Le chiavi d'accesso, invece, vengono generate dall'autenticatore dell'utente, pertanto sono sempre molto complesse e diverse da utente a utente e da account ad account, ogni volta.
- Molte persone, inoltre, non proteggono i propri account con l'autenticazione a due fattori (2FA). Le chiavi d'accesso sono progettate per dipendere dall'2FA; per utilizzare una chiave d'accesso, l'utente finale deve avere a portata di mano il proprio autenticatore, soddisfacendo in tal modo i requisiti "Qualcosa che si è" (metodo biometrico) e "Qualcosa che si possiede" (autenticatore).
- Diversamente dalle password, le chiavi d'accesso non possono essere compromesse nei metodi di phishing, perché è impossibile ingannare un utente e fargli inserire una chiave d'accesso in un sito fasullo.
Le chiavi d'accesso sostituiranno le password e i gestori di password?
Sebbene le chiavi d'accesso potranno alla fine sostituire le password, non sostituiranno certo i gestori di password. Al contrario, i gestori di password acquisiranno ancora più importanza. Questo perché le chiavi d'accesso sono legate a un autenticatore. Gli utenti possono scegliere se utilizzare un dispositivo (solitamente uno smartphone, ma anche un tablet, un PC portatile o fisso vanno bene) oppure un gestore di password che supporta le chiavi d'accesso.
Dapprima, usare uno smartphone come autenticatore potrebbe sembrare un'opzione logica, in quanto la maggior parte delle persone ha sempre con sé il telefono. Tuttavia, poiché gran parte delle persone usano più dispositivi, ben presto ciò si rivela scomodo: se un utente vuole accedere a un account o a un'app da un dispositivo diverso, come il PC portatile o il tablet, dovrà generare un codice QR su quel dispositivo, quindi scansionarlo con l'autenticatore e poi utilizzare i metodi biometrici per effettuare finalmente l'accesso.
Un gestore di password come Keeper, che lancerà il supporto per le chiavi d'accesso nei primi mesi del 2023, semplificherà notevolmente questa procedura legando la chiave d'accesso a un'applicazione e non a un dispositivo fisico.
Quali aziende supportano le chiavi d'accesso?
Al momento in cui è stato redatto questo articolo, il numero di siti web e app che supportano tale tecnologia è ancora esiguo. Apple, Microsoft, Best Buy, GoDaddy, PayPal, Kayak e eBay sono tra i nomi più importanti che al momento supportano le chiavi d'accesso.
Tuttavia, proprio per la loro comodità e sicurezza, le chiavi d'accesso stanno prendendo piede rapidamente. Google ha lanciato il supporto per chiavi d'accesso a Chrome stable M108 per Windows, Android e macOS a dicembre 2022, sta lavorando al supporto per iOS e Chrome OS nonché a un nuovo set API che offrirà supporto alle chiavi d'accesso sulle app per Android.