Le passkey promettono di essere la vera rivoluzione nell'ambito dell'accesso passwordless. E l'interesse verso questa tecnologia è dimostrato dall'adozione da parte di varie aziende, come Dashlane.
Questo sistema di login, introdotto da Apple a partire da iOS 16, consente agli utenti di accedere agli account tramite coppie di chiavi crittografiche. In sostanza, la proprietà dell'account viene dimostrata dall'unione del dispositivo e dei dati biometrici dell'utente.
E ora, il nuovo metodo di autenticazione, basato sulla tecnologia FIDO, approda su PayPal, quantomeno sulle app per i dispositivi Apple basati su iOS 16, iPadOS 16 e macOS Ventura. In ogni caso, l'azienda sarebbe intenzionata a estendere questa opzione anche ad altre piattaforme, in futuro.
Il popolare servizio di pagamento ha deciso di adottare le passkey in quanto eliminano il rischio di utilizzo di password poco efficaci o riutilizzate, risolvendo anche il problema di dover ricordare la propria password.
Che sia la fine dei password manager? Probabilmente no. Non tutti i sistemi adottano tecnologie FIDO per l'autenticazione passwordless, inoltre gli stessi provider di app e servizi per la gestione delle password iniziano ad adottare la stessa tecnica per l'accesso ai vault degli utenti, di conseguenza possiamo aspettarci un'evoluzione dei gestori delle password, piuttosto che la loro estinzione.
D'altronde, Apple non è l'unica a impegnarsi nel fronte dell'accesso passwordless. Anche Microsoft e Google stanno lavorando per implementare i nuovi standard entro l'inizio del 2023.
Come spiegato in un interessante articolo di approfondimento di Ars Technica, uno degli aspetti più interessanti dell'autenticazione tramite passkey è il loro grado di protezione dagli attacchi informatici. Questi nuovi sistemi di autenticazione prevedono un'integrazione con Face ID, Windows Hello e altri lettori di dati biometrici. E non c'è modo di rubare i codici segreti crittografici presenti nei sistemi di autenticazione, se non rubare fisicamente il dispositivo e sottoporlo ad attacchi root o altri tipi di manomissione analoghi. E in ogni caso, resterebbe sempre la necessità di fornire un'impronta digitale o la scansione del viso del proprietario.
A oggi nessun attacco contro dispositivi MFA conformi allo standard FIDO è stato efficace. Di recente, un attacco contro Cloudflare è fallito proprio grazie alla presenza di token hardware aderenti a FIDO.
A differenza di altri metodi, però, le passkey non si affidano a password, implementando invece più fattori di autenticazione all'interno di un unico pacchetto di dati, con la gestione delle passkey demandata al sistema operativo. E questo grado di impermeabilità agli attacchi spiega perché, per molti, le passkey rappresentano il futuro dell'autenticazione passwordless.