Passkeys

From Carini MediaWiki
Jump to navigation Jump to search


Introduzione

Le passkeys sono un metodo moderno di autenticazione senza password (passwordless) basato su crittografia a chiave pubblica. Sono progettate per sostituire le password tradizionali con credenziali più sicure e semplici da utilizzare.

Definizione

Una passkey è una credenziale digitale associata a:

  • un utente
  • un dispositivo
  • un servizio o sito web specifico

L’autenticazione avviene tramite una coppia di chiavi crittografiche (pubblica e privata).

Funzionamento

Creazione

  1. Durante la registrazione viene generata una coppia di chiavi.
  2. La chiave pubblica viene memorizzata dal servizio.
  3. La chiave privata rimane salvata in modo sicuro sul dispositivo dell’utente.

Accesso

  1. Il servizio invia una richiesta di autenticazione (challenge).
  2. Il dispositivo utilizza la chiave privata per firmare la richiesta.
  3. Il servizio verifica la firma tramite la chiave pubblica.

L’utente autorizza l’operazione tramite:

  • impronta digitale
  • riconoscimento facciale
  • PIN del dispositivo

Standard Tecnici

Le passkeys si basano principalmente su:

  • WebAuthn (W3C)
  • FIDO2 (FIDO Alliance)
  • CTAP (Client to Authenticator Protocol)

Compatibilità

Supporto nei principali:

  • sistemi operativi moderni
  • browser aggiornati
  • dispositivi mobili e desktop

Vantaggi

  • Eliminazione delle password statiche.
  • Resistenza al phishing.
  • Protezione contro credential stuffing.
  • Migliore esperienza utente.

Limitazioni

  • Dipendenza dal dispositivo o dal provider di sincronizzazione.
  • Necessità di procedure di recupero account.
  • Adozione non ancora universale.

Bibliografia

  • IETF, RFC 6749 – The OAuth 2.0 Authorization Framework.
  • IETF, RFC 7636 – Proof Key for Code Exchange (PKCE).
  • IETF, RFC 8252 – OAuth 2.0 for Native Apps.
  • W3C, Web Authentication: An API for accessing Public Key Credentials (WebAuthn) – Level 2/3.
  • FIDO Alliance, FIDO2: Client to Authenticator Protocol (CTAP).
  • NIST, Special Publication 800-63B – Digital Identity Guidelines: Authentication and Lifecycle Management.
  • FIDO Alliance, FIDO2 Overview and Technical Specifications.

Concetti Correlati

  • Autenticazione a due fattori (2FA)
  • Passwordless authentication
  • Token hardware
  • Autenticazione a chiave pubblica
Retrieved from "https://wiki.carini.ch/index.php?title=Passkeys&oldid=303"