Come funzionano le passkey dal punto di vista tecnico
https://www.ilsoftware.it/passkey-e-win ... integrato/
Da un punto di vista tecnico, il funzionamento delle passkey poggia sulla crittografia a chiave pubblica o asimmetrica. Una passkey è una coppia di chiavi crittografiche pubbliche e private. Al momento della creazione della nuova passkey, entrambe le chiavi sono memorizzate sul dispositivo dell’utente. Allo scopo si utilizza un componente simile a un password manager ovvero il passkey manager. Il sito Web acquisisce soltanto la chiave pubblica.
Le password non offrono alcun tipo di protezione contro l’azione dei criminali informatici. Se, “abboccando” a un tentativo di phishing, si inserisce una propria password su un sito Web truffaldino, gli aggressori sono subito nelle condizioni di riutilizzarla per porre in essere un furto d’identità. Certo, l’eventuale utilizzo dell’autenticazione a due fattori impedisce tentativi di login non autorizzati. Ma non tutti gli utenti ne fanno uso.
Nel caso delle passkey, invece, il dominio del sito Web a cui si riferisce l’accesso viene automaticamente memorizzato. Non è quindi possibile usare una passkey creata per il dominio Google google.com su un sito di phishing ospitato su un dominio differente. Inoltre, la passkey è protetta crittograficamente dal phishing. L’autenticazione utilizza una firma crittografica che, ancora una volta, fa riferimento al dominio del sito Web.
Poiché le passkey vengono create individualmente per ogni account, non è necessario pensare a una password diversa per ogni scopo. Inoltre, come dicevamo in precedenza, non è necessaria l’autenticazione a due fattori, poiché le passkey usano già due fattori: l’utente da un lato dimostra il possesso della passkey e dall’altro conosce il PIN corretto o usa la biometria.
PS: la crittografia PGP e software derivati, lo facevano già 20anni fa, ma non l'hanno mai voluto davvero utilizzare. Forse sarebbe stato troppo sicuro come sistema di sicurezza. Sia per le email, che browser, password manager, identità digitale universale, etc.
Adesso si parla di biometria, impronte, riconoscimento facciale, etc.
Numero di telefono personale (in pratica codice fiscale e identità univoca).
A me preoccupa. La sicurezza bilaterale è un'altra. Qui mi pare si cerca di sapere e registrare chi c'è esattamente dall'altra parte. Noi.
Non stanno lavorando per la nostra sicurezza!
E mi preoccupano anche i cloud, i password manager integrati nei browser, gli archivi password su cloud e via dicendo.
E continuo anche a pensare che il riconoscimento a due fattori, non è per la nostra sicurezza.