Passkey: come funzionano dal punto di vista tecnico

[Pingus]

Come funzionano le passkey dal punto di vista tecnico
https://www.ilsoftware.it/passkey-e-win ... integrato/

Da un punto di vista tecnico, il funzionamento delle passkey poggia sulla crittografia a chiave pubblica o asimmetrica. Una passkey è una coppia di chiavi crittografiche pubbliche e private. Al momento della creazione della nuova passkey, entrambe le chiavi sono memorizzate sul dispositivo dell’utente. Allo scopo si utilizza un componente simile a un password manager ovvero il passkey manager. Il sito Web acquisisce soltanto la chiave pubblica.

Le password non offrono alcun tipo di protezione contro l’azione dei criminali informatici. Se, “abboccando” a un tentativo di phishing, si inserisce una propria password su un sito Web truffaldino, gli aggressori sono subito nelle condizioni di riutilizzarla per porre in essere un furto d’identità. Certo, l’eventuale utilizzo dell’autenticazione a due fattori impedisce tentativi di login non autorizzati. Ma non tutti gli utenti ne fanno uso.

Nel caso delle passkey, invece, il dominio del sito Web a cui si riferisce l’accesso viene automaticamente memorizzato. Non è quindi possibile usare una passkey creata per il dominio Google google.com su un sito di phishing ospitato su un dominio differente. Inoltre, la passkey è protetta crittograficamente dal phishing. L’autenticazione utilizza una firma crittografica che, ancora una volta, fa riferimento al dominio del sito Web.

Poiché le passkey vengono create individualmente per ogni account, non è necessario pensare a una password diversa per ogni scopo. Inoltre, come dicevamo in precedenza, non è necessaria l’autenticazione a due fattori, poiché le passkey usano già due fattori: l’utente da un lato dimostra il possesso della passkey e dall’altro conosce il PIN corretto o usa la biometria.



PS: la crittografia PGP e software derivati, lo facevano già 20anni fa, ma non l'hanno mai voluto davvero utilizzare. Forse sarebbe stato troppo sicuro come sistema di sicurezza. Sia per le email, che browser, password manager, identità digitale universale, etc.

Adesso si parla di biometria, impronte, riconoscimento facciale, etc.
Numero di telefono personale (in pratica codice fiscale e identità univoca).
A me preoccupa. La sicurezza bilaterale è un'altra. Qui mi pare si cerca di sapere e registrare chi c'è esattamente dall'altra parte. Noi.
Non stanno lavorando per la nostra sicurezza!

E mi preoccupano anche i cloud, i password manager integrati nei browser, gli archivi password su cloud e via dicendo.

E continuo anche a pensare che il riconoscimento a due fattori, non è per la nostra sicurezza.

[inglesino]

Ciao, colgo l'occasione del tuo post per chiedere una delucidazione.

Ho creato una passkey per il mio account di posta elettronica pensando che il mio telefono + rilevamento facciale fosse la chiave per accedervi.

Quello che non capisco sono questi passaggi:

- Se apro il mio Macbook in ufficio anch'esso con l'impronta diventa il pass per accedere alla mail, ma se il Macbook in ufficio viene usato anche dai miei colleghi allora potenzialmente diventa pericoloso! A tal proposito è possibile decidere quale strumento utilizzare per il passkey senza che tutto l'ecosistema di Device legati al mio account lo diventino?

- Quando accedo alla mia mail mi viene chiesto di poter utilizzare la passkey o "altro metodo" cioè la password nel mio caso. Mi viene da pensare che qualcuno venuto in possesso della mia password vanifichi completamente la passkey in quanto è sempre possibile decidere se accedere in un modo o nell'altro.

Ringrazio in anticipo per l'attenzione, ovviamente sono qui per capire, spero che quanto scritto sopra, che nella mia testa sono delle falle, in realtà non lo siano.

[Scialla]

E continuo anche a pensare che il riconoscimento a due fattori, non è per la nostra sicurezza.

Malato!

[andrea_mac]

E continuo anche a pensare che il riconoscimento a due fattori, non è per la nostra sicurezza.

“non sia per la nostra sicurezza”

[andrea_mac]

Le password non offrono alcun tipo di protezione contro l’azione dei criminali informatici. Se, “abboccando” a un tentativo di phishing, si inserisce una propria password su un sito Web truffaldino, gli aggressori sono subito nelle condizioni di riutilizzarla per porre in essere un furto d’identità. Certo, l’eventuale utilizzo dell’autenticazione a due fattori impedisce tentativi di login non autorizzati. Ma non tutti gli utenti ne fanno uso.

Nel caso delle passkey, invece, il dominio del sito Web a cui si riferisce l’accesso viene automaticamente memorizzato. Non è quindi possibile usare una passkey creata per il dominio Google google.com su un sito di phishing ospitato su un dominio differente. Inoltre, la passkey è protetta crittograficamente dal phishing. L’autenticazione utilizza una firma crittografica che, ancora una volta, fa riferimento al dominio del sito Web.

Queste caratteristiche del Passkey comunque sarebbero raggirabili attraverso attacchi di tipo DNS spoofing e simili https://en.wikipedia.org/wiki/DNS_spoofing

[inglesino]

Ti ringrazio, sono ancora dell'idea che un authenticator con un token esterno tipo chiavetta sia ancora la miglior soluzione.