Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, 9216 documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             

  


WPkit.it: privacy, formulari, check up per WordPress

Temi attuali:
Algoritmi ChatGPT Intelligenza artificiale Privacy WordPress



Dizionario 05.05.2023    Pdf    Appunta    Letti    Post successivo  

Passkey: cosa significa - dizionario

Lasciarsi identificare dai servizi senza usare password: mito o realtà ? Realtà.


Valentino Spataro

 

P

Password less non significa accedere ad un sito, identificarsi e non avere password.

Significa avere credenziali crittografate generate in locale e aggiornate automaticamente.

Come funziona ?

I produttori della Fido Alliance stanno spiengendo Fido2, uno standard per identificare l'accesso dai dispositivi.

Attenzione: vengono certificati i dispositivi, non le persone.

E' un cambiamento culturale: la password è mia, la passkey identifica il pc.

Se voglio entrare da più dispositivi dovrò condividere l'account con la nuova passkey generata su altro dispositivo. Fanno tutto i software, è semplice, ma devo collegare tra di loro tutti i dispositivi che uso.

I token generati e aggiornati sfruttano chiavi crittografiche private, non accessibili nemmeno ai proprietari dei computer; e chiavi pubbliche caricate sui server dei prodotturi dei sistemi operativi (Apple, Google, Microsoft).

Ci vuole una cloud per condividere le chiavi pubbliche e associare i dispositivi tra di loro. Alle cloud si accede, attualmente, tramite email e password e 2FA, come sempre.

A questo punto chiediamoci cosa succede se perdiamo o ci rubano un dispositivo (pc, laptop, smartphone, tablet).

Quel dispositivo potrà continuare a identificarsi sul servizio, se non accedo al servizio con un account collegato a quelle del dispositivo perso. Non posso ripudiarlo, bloccarlo, disabilitarlo, perchè se non sono identificato come proprietario di entrambi i dispositivi non posso chiedere di disabilitarne uno: potrei essere chiunque.

Quindi il bello di Passkey, che può essere utile in molti contesti come quelli aziendali dove qualcuno potrà aiutare configurarlo correttamente, è creare subito un'altra identità su un altro dispositivo.

Per questo Fido Alliance fornisce una piattaforma interoperabile.

Se perdo un dispositivo, per ogni servizio con passkey devo avere un altro device collegato. Da questo, e solo da questo, potrò revocare l'accesso di quello perso.

Quindi se mi rubano pc e telefono, devo avere un tablet a casa associato anche lui a tutti i servizi, altrimenti il vecchio dispositivo continuerà a collegarsi.

Questo sempre che non possa cancellare da remoto il dispositivo rubato o perso.

Rischi per i token ? Nessuno. La crittografia è End 2 End, quindi le chiavi private sono sul mio dispositivo e nemmeno io posso accedervi.

Che poi la crittografia sia sempre completamente sicura è qualcosa che l'utente non potrà mai controllare, proprio perchè non ha nemmeno accesso alle chiavi private.

Una crittografia debole potrebbe essere inserita temporaneamente per indagare sul pc del singolo. Pazienza.

Nel frattempo il punto debole è l'utilizzo della cloud per gestire le passkey. Non è accedendo illecitamente ad esse che si potrebbe guadagnare l'accesso ai device, le chiavi pubbliche non servono a questo. Però le cloud continuano a funzionare con id - password e 2fa.

Insomma, ancora una transizione. Che però vede già i primi problemi di chi vuole sincronizzare i propri wallet con passkey: solo i wallet compatibili sono supportati.

Vedremo. Certo è che gli utenti non si sognano di usare password manager, e fanno male.

Ricordiamo l'incipit: passkey certifica i dispositivi, non gli utenti. La cloud associa i passkey (i device) alla stessa persona. Per gestire gli accessi avremo sempre anche un intermediario: il cloud.

Meglio le password sui nostri pc, o la maggiore sicurezza offerta dalla gestione in cloud dei passkey ?

05.05.2023 Valentino Spataro



Social Media Manager
ARC - protocollo
Legal Product Management
Pareidolia
Violazioni minori
Reverse proxy
PECR
Pretexting
CSAM Detection
Decluttering



Segui le novità in materia di Dizionario su Civile.it via Telegram
oppure via email: (gratis Info privacy)





dallo store:
visita lo store








Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.061