FIDO Alliance, organizzazione che si occupa della standardizzazione delle tecnologie di autenticazione, ha redatto una nuova specifica per abilitare il trasferimento sicuro delle passkey, metodo di accesso che può sostituire le password. Se la specifica dovesse poi essere ufficialmente approvata, la soluzione proposta diverrà uno standard di riferimento per lo scambio delle informazioni di autenticazione sistemi e dispositivi diversi.
In un altro articolo abbiamo infatti sottolineato che, a nostro avviso, le passkey non sostituiscono del tutto le password perché sul tavolo resta ancora il pesante problema della sincronizzazione sicura delle chiavi crittografiche.
Cosa sono le passkey e perché c’è la necessità di uno standard per sincronizzarle tra i dispositivi
Le passkey rappresentano un’evoluzione nel panorama dell’autenticazione, sostituendo le password tradizionali con metodi basati sull’uso di una coppia di chiavi crittografiche. Il livello di sicurezza intrinsecamente raggiungibile è superiore perché le passkey di fatto azzerano il rischio di attacchi phishing e il riutilizzo delle credenziali.
La necessità di uno standard per la sincronizzazione delle passkey tra dispositivi, deriva dalla crescente diversificazione dei sistemi di autenticazione e dalla proliferazione di dispositivi e piattaforme. Senza uno standard universale, il trasferimento potrebbe risultare insicuro, esponendo gli utenti a potenziali attacchi.
La bozza proposta dalla FIDO Alliance descrive un protocollo chiamato Credential Exchange (CXP) che stabilisce le modalità per l’attivazione di un trasferimento sicuro quando si scambiano informazioni di autenticazione tra sistemi di gestione delle password, quindi non soltanto passkey. Inoltre, introduce il Credential Exchange Format (CXF).
Protocollo e formato
CXP definisce un metodo sicuro per trasferire credenziali tra piattaforme diverse. Utilizzando Diffie-Hellman key exchange e la Hybrid Public Key Encryption (HPKE), il protocollo garantisce che i dati in transito siano protetti.
A sua volta, CXF stabilisce una struttura standardizzata per il trasferimento sicuro delle credenziali. L’obiettivo consiste nel garantire interoperabilità e integrità dei dati, essenziali in un contesto in cui molteplici fornitori potrebbero far sentire i loro effetti.
Tra i formati proposti, vi è l’uso di JSON all’interno di un archivio ZIP, con ogni parte crittografata secondo le specifiche stabilite dal CXP. Ciò permette di mantenere la riservatezza e l’integrità delle credenziali anche quando vengono archiviate o trasferite.
Le bozze di CXP e CXF sono state sviluppate con la partecipazione attiva degli specialisti di aziende leader nel settore, tra cui Dashlane, Bitwarden, 1Password, NordPass e Google.
Implementazione e sicurezza
Una volta standardizzata, la specifica della FIDO Alliance sarà aperta e potrà essere implementata da qualsiasi fornitore di autenticazione. Ciò renderà il processo di importazione ed esportazione delle passkey molto più sicuro, garantendo che le chiave siano trasmesse utilizzando un’adeguata protezione.
1Password, nota applicazione per la gestione delle password che collabora attivamente con FIDO Alliance, ha già annunciato che svilupperà un’opzione per importare ed esportare passkey basata sulla nuova specifica.
A conferma dell’impegno nel supportare le passkey, per un mondo sempre più senza password, FIDO Alliance ha lanciato il sito Passkey Central. Il progetto contiene informazioni su come implementare le passkey: si tratta di una risorsa utenti per sviluppatori, imprese, professionisti e utenti finali.
I benefici delle passkey
I portavoce della FIDO Alliance hanno sottolineato che oggi oltre 12 miliardi di account online sono accessibili con una passkey. L’utilizzo delle passkey, ove supportato, permette di scongiurare eventuali tentativi di aggressione da parte dei criminali informatici, rendendo il processo di accesso fino al 75% più veloce e fino al 20% più efficace rispetto ai metodi tradizionali basati su password o combinazioni di password e codici OTP.
Per questo motivo, è fondamentale che gli utenti possano scegliere il proprio sistema di gestione delle credenziali ed effettuare la transizione verso le passkey in modo sicuro e senza attriti.
Microsoft ha presentato la sua soluzione per la sincronizzazione delle passkey ma l’utilizzo delle risorse cloud dell’azienda di Redmond potrebbe non andare a genio a molti.