Uno dei password manager online più noti e utilizzati è 1Password.
Steve Won, Chief Product Officer, ha rivelato che nei prossimi mesi la nota piattaforma consegnerà nelle mani dei suoi utenti una modalità di accesso senza password.
Il meccanismo è completamente sovrapponibile con il concetto di Passkey: le passkey consentono di creare account online e di accedervi senza inserire alcuna password.
Quando le passkey sono implementate correttamente, l’utente non deve digitare nulla e non bisogna più preoccuparsi dell’eventualità che qualcuno abbia provato a tendere una trappola con una pagine Web truffaldina (phishing).
Le passkey rendono più facile per tutti utilizzare l’autenticazione senza password e sono supportate, oltre che da 1Password – essa stessa membro della FIDO Alliance (vedere più avanti) – anche da nomi di peso come Apple, Google e Microsoft.
L’utente deve semplicemente ricorrere al dispositivo di autenticazione prescelto: nel contesto delle passkey potrebbe essere lo smartphone, il tablet o il PC. Il dispositivo chiede di avviare la procedura di autenticazione usando il riconoscimento facciale o la verifica dell’impronta digitale: superato questo controllo, il gioco è fatto.
Le passkey sfruttano un’API chiamata WebAuthn o Web Authentication: essa è stata sviluppata congiuntamente dalla FIDO Alliance, un’associazione di settore dalla struttura aperta che ha come obiettivo quello di ridurre la dipendenza dalle password, e dal World Wide Web Consortium (W3C), da sempre impegnata nello sviluppo di innovativi standard per il Web.
Grazie alla crittografia asimmetrica o a chiave pubblica, è possibile controllare efficacemente l’identità dell’utente. Il sito Web o l’app possono vedere e archiviare la chiave pubblica di ciascun utente mentre la corrispondente chiave privata resta segreta e conservata in sicurezza nel singolo dispositivo.
A differenza delle password create dall’utente, le passkey sono complesse e univoche per impostazione predefinita. Vengono generate e archiviate sui dispositivi dell’utente e non vengono mai condivise con alcun servizio cloud. Inoltre, con le passkey tramonta definitivamente la necessità di cambiare password.
Il ruolo di 1Password come autenticatore
Quando si decide di creare un account su un sito che supporta le passkey, il server Web condivide con il client alcune informazioni e chiede di indicare l’autenticatore prescelto: come detto in precedenza, potrebbe essere lo smartphone, il tablet, il PC ma anche un gestore di password come 1Password.
Ed è qui la novità, 1Password ha già predisposto il meccanismo che permette di utilizzare il password manager per la generazione della coppia chiave pubblica-privata necessaria per l’accesso mediante passkey.
Le passkey offrono massima protezione rispetto al phishing e hanno ben 256 bit di entropia per prevenire tentativi di cracking.
Gli utenti di 1Password potranno utilizzare le passkey dall’estate 2023 ma già oggi gli interessati possono accedere a una dimostrazione interattiva che permette di comprendere ancora più nel dettaglio il funzionamento del meccanismo di autenticazione sicuro.
La dimostrazione è riservata a coloro che dispongono di un account 1Password attivo.
Le passkey sbloccano possibilità davvero interessanti per gli utenti. 1Password cita alcuni esempi concreti:
– Creazione di account 1Password senza password o chiavi segrete.
– Accesso semplificato ai nuovi dispositivi.
– Utilizzo dello smartphone per sbloccare 1Password su PC Windows, sistemi macOS em in generale, qualunque browser Web.
– Possibilità di invitare in modo semplice e veloce utenti aziendali, amici e familiari permettendo loro di usare un certo servizio o un dispositivo.
– Possibilità di usare sistemi di autenticazione biometrica ovunque si utilizzi 1Password, anche sul Web.
Un “assaggio” di ciò che è possibile fare con le passkey è disponibile in questo video.
Arriverà quindi a breve il nuovo sistema che finalmente e con buona probabilità trasformerà le password in un lontano e fastidioso ricordo.