Introduzione
Le passkey sostituiscono le password in modo più semplice e sicuro. Con le passkey, gli utenti possono accedere ad app e siti web con un sensore biometrico (come un'impronta o un riconoscimento facciale), un PIN o una sequenza, evitando che debbano ricordare e gestire le password.
Una passkey può sostituire una password e un secondo fattore in un solo passaggio. L'esperienza utente può essere semplice come la compilazione automatica di un modulo per la password. Le passkey offrono una protezione efficace contro gli attacchi di phishing, a differenza degli SMS o delle password uniche basate su app. Poiché le passkey sono standardizzate, una singola implementazione consente un'esperienza senza password su browser e sistemi operativi diversi.
Che cosa sono le passkey?
Una passkey è una credenziale digitale associata a un account utente e a un sito web o un'applicazione. Le passkey consentono agli utenti di autenticarsi senza dover inserire nome utente, password o fornire altri fattori di autenticazione. Questa tecnologia mira a sostituire i meccanismi di autenticazione precedenti come le password.
Quando un utente vuole accedere a un servizio che utilizza le passkey, il suo browser o sistema operativo lo aiuterà a selezionare e utilizzare la passkey giusta. L'esperienza è simile a quella delle password salvate oggi. Per assicurarsi che solo il legittimo proprietario possa utilizzare una passkey, il sistema gli chiederà di sbloccare il suo dispositivo. Questa operazione può essere eseguita con un sensore biometrico (ad esempio un'impronta o il riconoscimento facciale), un PIN o una sequenza.
Per creare una passkey per un sito web o un'applicazione, l'utente deve prima registrarsi con il sito web o l'applicazione.
- Vai all'applicazione e accedi utilizzando il metodo di accesso esistente.
- Fai clic sul pulsante Crea una passkey.
- Controlla le informazioni archiviate con la nuova passkey.
- Usa lo sblocco con lo schermo del dispositivo per creare la passkey.
Quando torna in questo sito web o in questa app per accedere, può seguire questi passaggi:
- Vai all'applicazione.
- Fai clic su Accedi.
- Seleziona la passkey.
- Usa lo sblocco con lo schermo del dispositivo per completare l'accesso.
Il dispositivo dell'utente genera una firma in base alla passkey. Questa firma viene utilizzata per verificare le credenziali di accesso tra l'origine e la passkey.
Un utente può accedere ai servizi su qualsiasi dispositivo utilizzando una passkey, indipendentemente da dove è archiviata. Ad esempio, una passkey creata su un telefono cellulare può essere utilizzata per accedere a un sito web su un laptop separato.
Come funzionano le passkey?
Le passkey sono destinate a essere utilizzate attraverso un'infrastruttura del sistema operativo che consente ai gestori di crearle, eseguirne il backup e metterle a disposizione delle applicazioni in esecuzione su quel sistema operativo. Su Chrome su Android, le passkey sono archiviate nel Gestore delle password di Google, che le sincronizza tra i dispositivi Android dell'utente che hanno eseguito l'accesso allo stesso Account Google.
Gli utenti non sono limitati a usare le passkey solo sul dispositivo su cui sono archiviate: possono essere usate quando accedono a un laptop, anche se non sono sincronizzate sul dispositivo, purché il telefono sia vicino al laptop e l'utente ne approvi l'accesso. Poiché le passkey sono basate su standard FIDO, possono essere adottate da tutti i browser.
Ad esempio, un utente visita example.com
su Chromebook. Questo utente ha già eseguito l'accesso a example.com
sul suo dispositivo iOS e ha generato una passkey. Su Chromebook, l'utente sceglie di accedere con una passkey da un altro dispositivo. I due dispositivi si connetteranno e all'utente verrà chiesto di approvare l'uso della sua passkey sul dispositivo iOS, ad esempio tramite FaceID.
Dopodiché, esegue l'accesso su Chromebook. Tieni presente che la pass stessa non viene trasferita su Chromebook, pertanto di solito example.com
si offre di crearne una nuova. In questo modo, il telefono non sarà richiesto la prossima volta che l'utente vuole accedere. Leggi l'articolo Accedere con un
telefono per ulteriori informazioni.
Considerazioni sulla privacy
- Alcuni utenti potrebbero essere sorpresi se un'autenticazione biometrica viene improvvisamente visualizzata su un sito web o in un'app e pensare che questa stia inviando informazioni sensibili al server. Con le passkey, le informazioni biometriche dell'utente non vengono mai rivelate sul sito web o nell'app. Il materiale biometrico non lascia mai il dispositivo personale dell'utente.
- Le passkey da sole non consentono il monitoraggio di utenti o dispositivi tra siti. La stessa passkey non viene mai utilizzata con più di un sito. I protocolli passkey sono progettati con attenzione per impedire che le informazioni condivise con i siti vengano utilizzate come vettore di tracciamento.
- I gestori di passkey proteggono le passkey da accessi e utilizzi non autorizzati. Ad esempio, Gestore delle password di Google cripta i passkey secret end-to-end. Solo l'utente può accedervi e utilizzarlo e, anche se ha eseguito il backup sui server di Google, Google non può utilizzarle per impersonare gli utenti.
Considerazioni sulla sicurezza
- Le passkey utilizzano la crittografia delle chiavi pubbliche. La crittografia a chiave pubblica riduce la minaccia di potenziali violazioni dei dati. Quando un utente crea una passkey con un sito o un'applicazione, viene generata una coppia di chiavi pubblica/privata sul dispositivo dell'utente. Solo la chiave pubblica è archiviata dal sito, ma questa è inutile per un utente malintenzionato. Un utente malintenzionato non può ricavare la chiave privata dell'utente dai dati archiviati sul server, il che è necessario per completare l'autenticazione.
- Poiché le passkey sono associate all'identità di un sito web o di un'app, sono protette dagli attacchi di phishing. Il browser e il sistema operativo garantiscono che una passkey possa essere utilizzata solo con il sito web o l'app che li ha creati. Questo evita agli utenti di essere responsabili dell'accesso al sito web o all'app originali.
Ricevi notifiche
Iscriviti alla newsletter per gli sviluppatori di passkey di Google per ricevere notifiche sugli aggiornamenti delle passkey.
Passaggi successivi
- Scopri come creare una passkey per gli accessi senza password sul Web
- Scopri come consentire agli utenti di accedere con una passkey tramite la compilazione automatica dei moduli sul Web
- Scopri come accedere a un'app per Android utilizzando Credential Manager