Il futuro è senza password: come le passkey semplificheranno la tua vita e ci proteggeranno tutti
Pubblicato: 2022-11-16Non è un segreto che l'autenticazione senza password stia prendendo il sopravvento. I leader tecnologici globali, come Apple, Google e Microsoft, si stanno spostando verso l'utilizzo di chiavi di accesso. Sfruttando la crittografia a chiave pubblica, le passkey offrono un'esperienza quasi rivoluzionaria nella sicurezza digitale.
iThemes ha aperto la strada per rendere WordPress e, in definitiva, l'intera Internet più sicura e utilizzabile per tutti. Il futuro è senza password e noi siamo qui per dirti perché.
In questa guida all'autenticazione senza password, imparerai come le passkey superano le vulnerabilità di sicurezza dell'autenticazione basata su password e perché dovresti iniziare a usarle.
Il viaggio verso l'autenticazione senza password
Il viaggio verso l'autenticazione senza password è già iniziato. Tutti i principali browser e giganti della tecnologia hanno introdotto il pieno supporto per le passkey. Il 2022 è diventato una nuova pietra miliare nell'implementazione di accessi senza password più coerenti, sicuri e facili su più dispositivi e piattaforme digitali.
Ogni anno, il World Password Day, designato come il primo giovedì di maggio, celebra i nuovi progressi compiuti in uno sforzo congiunto per rendere il Web più sicuro e utilizzabile per tutti. Il 5 maggio 2022, Apple, Google e Microsoft hanno annunciato l'intenzione di espandere il supporto per lo standard di accesso senza password creato dalla FIDO Alliance e dal World Wide Web Consortium.
Per anni, la FIDO (Fast Identity Online) Alliance e il World Wide Web Consortium hanno lavorato su una serie di standard che consentiranno l'implementazione dell'autenticazione senza password su Internet. FIDO 2 è il set di specifiche più recente, ora supportato dalla maggior parte dei browser e delle piattaforme.
Esamineremo come funziona l'autenticazione senza password in modo più dettagliato più avanti nella guida. Ma prima, vediamo perché l'autenticazione della password sta gradualmente diventando un ricordo del passato.
Perché l'autenticazione basata su password viene trascurata?
L'autenticazione basata su password esiste da quando esiste Internet, consentendo agli utenti di accedere a un sito Web o a un'applicazione Web utilizzando una coppia di credenziali: un nome utente e una password. Questo approccio ha dimostrato la sua affidabilità e versatilità ed è stato lo standard del settore per anni.
Tuttavia, nonostante la sua facile implementazione e utilizzo, numerosi inconvenienti e rischi per la sicurezza associati all'autenticazione basata su password sono stati rapidamente scoperti sia sul lato utente che sul lato server. In poche parole, sia gli utenti che i server non hanno la capacità di proteggere il segreto condiviso.
I principali rischi per la sicurezza associati all'autenticazione basata su password sono incentrati sull'utilizzo della password come segreto condiviso. Questo può diventare disponibile per un attore malintenzionato in diverse fasi del processo di autenticazione. Le password possono essere violate o semplicemente indovinate a causa di un attacco di forza bruta riuscito.
3 modi comuni in cui le password vengono esposte
Gli studi hanno dimostrato che oltre l'80% di tutte le violazioni legate all'hacking sono attribuite alla compromissione della password. Significa che a un certo punto l'hacker è riuscito ad ottenere un accesso non autorizzato al sistema impersonando il legittimo proprietario di un sito web o di un'applicazione web. Ma come vengono hackerati esattamente i siti web?
I modi più comuni in cui le password vengono esposte includono phishing, attacchi di forza bruta e violazioni dei dati. Gli utenti possono essere indotti a fornire le proprie informazioni di autenticazione. Oppure le password possono essere indovinate o trapelate in caso di violazione dei dati da parte del fornitore di servizi.
Attacchi di forza bruta e violazioni dei dati
Gli attacchi di forza bruta sono in aumento e rappresentano circa l'80% di tutti gli attacchi di rete. Poiché l'ipotesi della password è stata automatizzata, l'attaccante non impiega molto tempo a violare qualsiasi account.
La macchina dell'hacker (o anche una rete di computer nota come botnet) può generare migliaia di combinazioni al secondo. Ciò consente all'attaccante di ottenere l'accesso non autorizzato a un sito Web o a un'applicazione Web in pochissimo tempo.
E se ti stai chiedendo perché un hacker attaccherebbe il tuo sito web, la spiegazione è semplice. Gli hacker hanno la possibilità di effettuare migliaia di richieste web al secondo. Raramente scelgono in quali siti web vorrebbero entrare: cercheranno di hackerarne il maggior numero possibile.
Ottenere l'accesso come amministratore a un sito Web o persino a un intero server offre agli hacker opportunità quasi illimitate di sfruttare il sistema. Uno dei quali è la perdita di informazioni sull'utente, inclusi nomi utente e password, dal database dell'applicazione.
Perché l'utilizzo di password complesse non risolverà tutti i rischi per la sicurezza
L'uso di password complesse è assolutamente essenziale e fornirà una solida linea di difesa contro gli attacchi di forza bruta. Si ritiene che l'utilizzo di una password complessa risolva tutti i rischi per la sicurezza. Tuttavia, può solo ridurre in una certa misura le possibilità che le tue credenziali vengano compromesse.
Solo il 30% circa degli utenti configura l'autenticazione a due fattori. Senza utilizzare l'autenticazione a più fattori, gli hacker sono solo a un passo dall'ottenere l'accesso a informazioni sensibili.
L'impostazione di password monouso, verifica SMS o qualsiasi altro tipo di 2FA è un'ottima opzione per superare la maggior parte delle vulnerabilità di sicurezza dell'autenticazione delle password. Tuttavia, le passkey possono fare davvero la differenza nel mondo della sicurezza informatica.
Cosa sono le passkey?
Le passkey sono credenziali digitali alimentate dalla crittografia asimmetrica che possono sostituire completamente l'autenticazione basata su password. Come forma di autenticazione senza password, le passkey forniscono un modo più rapido e sicuro per accedere a servizi e applicazioni su più dispositivi utente.
L'autenticazione senza password ti consente di evitare di dover inserire un nome utente e una password per accedere. Invece, il tuo dispositivo genererà una chiave di accesso, una coppia di chiavi crittografiche che un determinato ID di credenziali identificherà.
In che modo le passkey garantiscono un'autenticazione sicura
Ogni passkey che crei è univoca e limitata a un singolo sito web o applicazione web. Poiché non ci sono segreti condivisi o password che l'utente deve ricordare, le passkey forniscono una protezione completa contro il phishing e gli attacchi di forza bruta.
Una volta creata una nuova passkey, il server salverà la chiave pubblica e l'ID della credenziale. La chiave privata verrà archiviata in modo sicuro sul dispositivo dell'utente o su una chiave di sicurezza hardware come YubiKey che puoi portare con te.
Per supportare le passkey, il dispositivo dell'utente deve disporre del chip di sicurezza TPM (Trusted Platform Module) per eseguire operazioni crittografiche come la generazione di chiavi e un autenticatore di piattaforma. L'autenticatore della piattaforma di solito supporta più tipi di verifica dell'identità, comprese le informazioni biometriche e i codici PIN.
Le passkey possono anche essere sincronizzate automaticamente tra i dispositivi dell'utente tramite un servizio cloud. Pertanto, non è necessario creare una nuova coppia di chiavi su altri dispositivi. La sincronizzazione della passkey è crittografata end-to-end e il servizio cloud memorizzerà in modo sicuro una copia crittografata della passkey.
Anche se la chiave pubblica viene trapelata, sarà inutile per l'hacker senza la corrispondente chiave privata. Ciò elimina ogni possibilità di accesso non autorizzato a causa di una violazione dei dati. Non esiste un vero modo per un attore malintenzionato di impersonarti.
Come funzionano le passkey?
L'uso delle passkey è diventato possibile grazie allo sviluppo della crittografia asimmetrica e di diversi standard e protocolli creati dalla FIDO Alliance e dal World Wide Web Consortium. Esaminiamo come funzionano le passkey in modo più dettagliato imparando di più sulla crittografia a chiave pubblica, WebAuthn e Client to Authenticator Protocol.
Crittografia a chiave pubblica
La chiave pubblica, o crittografia asimmetrica, prevede una coppia di chiavi – privata e pubblica – che vengono utilizzate per crittografare e decrittografare i dati scambiati da parti diverse. La chiave privata deve essere tenuta segreta mentre la chiave pubblica viene pubblicata online (o data al server quando viene creata una passkey).
Oltre all'autenticazione senza password, la crittografia asimmetrica aiuta a garantire la crittografia end-to-end per proteggere il traffico che viaggia sulla rete. Un certificato SSL/TLS ha la chiave privata installata sul server di origine, mentre la chiave pubblica viene utilizzata per verificare l'identità di un sito Web prima di stabilire una connessione.
API di autenticazione Web (WebAuthn) e protocollo da client a autenticatore
Insieme al protocollo Client to Authenticator, l'API di autenticazione Web fa parte del framework FIDO2, un insieme di tecnologie che consentono di utilizzare l'autenticazione senza password tra server, browser e autenticatori.
WebAuthn, abbreviazione di Web Authentication API, è una nuova specifica sviluppata dal World Web Consortium e FIDO che consente ai server di implementare l'autenticazione senza password. A partire dal 2019, WebAuthn è supportato da tutti i principali browser, inclusi Chrome, Firefox, Safari e Edge.
Come interfaccia di programmazione dell'applicazione, WebAuthn consente ai siti Web e alle applicazioni Web di registrare e autenticare gli utenti utilizzando passkey anziché password.
L'autenticazione Web funziona insieme ad altri standard FIDO, come Credential Management e Client to Authenticator Protocol 2 (CTAP 2). CTAP 2 è un protocollo a livello di applicazione che specifica la comunicazione tra il browser, il sistema operativo e un autenticatore in roaming.
Registrazione di una passkey
Quando registri una nuova passkey per l'autenticazione, il server che ospita l'applicazione genererà una sfida. Quindi, il tuo dispositivo creerà una nuova coppia di chiavi, firmerà la sfida e invierà la chiave pubblica al server, insieme all'ID della credenziale.
Il server salverà la chiave pubblica e l'identificatore delle credenziali per autenticarti al prossimo accesso. Puoi creare più passkey per ogni account per ridondanza. Ciò aiuta anche a recuperare più rapidamente l'account nel caso in cui la passkey principale venga persa.
La chiave privata verrà salvata sul tuo dispositivo e lì archiviata in modo sicuro. L'unico modo per accedere alla chiave privata è verificare la tua identità utilizzando un sensore biometrico. Ciò include l'impronta digitale o i modelli facciali o un PIN.
Il processo di autenticazione senza password
Dopo aver creato una nuova passkey per il tuo account, puoi sfruttare l'autenticazione senza password ogni volta che devi accedere a un sito Web o a un'applicazione. Invece di accedere con un nome utente e una password, puoi scegliere di utilizzare una passkey.
Il server invierà l'ID della credenziale (o più ID se hai generato più di una passkey per l'account) e una sfida. Il tuo dispositivo utilizzerà quindi l'ID credenziali per trovare la chiave corretta e ti chiederà di convalidare la tua identità utilizzando uno dei metodi di autenticazione supportati.
Una volta sbloccata la chiave, il tuo dispositivo firmerà la sfida e la invierà al server per l'autenticazione. Il server verificherà la sfida firmata utilizzando la chiave pubblica della coppia e concederà l'accesso al tuo account.
iThemes porta l'autenticazione senza password su WordPress
WordPress è sempre stato un obiettivo prioritario per gli hacker di tutto il mondo.
L'aumento del numero di attacchi ai siti Web WordPress e i volumi globali di malware non passano inosservati. Poiché gli attacchi dannosi prendono di mira sempre di più, la sicurezza dei siti Web è ora più importante che mai.
Per anni, iThemes ha cercato nuovi modi per proteggere i siti Web WordPress da minacce alla sicurezza sempre crescenti. I rapporti settimanali sulle vulnerabilità di WordPress ci hanno aiutato a capire come proteggere una delle aree critiche di un sito Web WordPress: la sua dashboard di amministrazione.
Le passkey sono senza dubbio una delle innovazioni più straordinarie nel mondo della sicurezza informatica. Il crescente adattamento delle passkey tra piattaforme e sistemi operativi può cambiare Internet per sempre. Le passkey di WordPress possono fare davvero la differenza per la sicurezza di WordPress. E iThemes non ha aspettato un minuto di più per rendere disponibile l'autenticazione senza password alla comunità di WordPress.
Nel settembre 2022, iThemes Security Pro ha incluso il supporto per le passkey di WordPress per l'autenticazione senza password. Portando gli ultimi sviluppi della sicurezza informatica sul tuo sito Web WordPress, iThemes Security Pro ha compiuto un enorme passo avanti verso un'esperienza di autenticazione più sicura e coerente.
Con iThemes Security Pro, le passkey per l'autenticazione di WordPress sono disponibili su tutti i tipi di dispositivi. Puoi utilizzare un autenticatore di piattaforma come Apple Touch ID, Face ID e Windows Hello, nonché qualsiasi autenticatore in roaming.
Inizia a utilizzare le passkey per WordPress
Per iniziare a utilizzare le passkey per l'autenticazione dell'amministratore di WordPress, assicurati di aggiornare iThemes Security Pro all'ultima versione. L'opzione per abilitare l'autenticazione senza password sarà disponibile dalla scheda Sicurezza accesso. Una volta abilitato il supporto per le passkey, configura le passkey per gli utenti di WordPress dalla dashboard dell'amministratore.
Se non stai ancora sfruttando gli aggiornamenti automatici di core, temi e plugin di WordPress, è ora di iniziare. BackupBuddy, una pluripremiata soluzione di backup per WordPress, ti aiuterà a costruire una solida strategia di backup per gestire tutti gli aggiornamenti con sicurezza.
Gestisci più di un sito web? iThemes Sync ti aiuterà a gestire più siti Web WordPress da un'unica dashboard, risparmiando tempo e denaro. Monitoraggio avanzato, monitoraggio delle metriche SEO e integrazione con BackupBuddy e iThemes Security Pro: tutto a tua disposizione con il tuo assistente personale per il sito Web WordPress.
Come i giganti della tecnologia implementano le passkey
I tre giganti della tecnologia globale - Apple, Google e Microsoft - hanno aperto la strada all'autenticazione senza password su tutti i principali browser e sistemi operativi. Android, iOS e Windows possono ora utilizzare potenti autenticatori di piattaforma integrati e sincronizzare le passkey su più dispositivi.
Mela
Apple ha introdotto le passkey con il rilascio di IOS 16 e macOS Ventura, rendendo l'autenticazione senza password disponibile per gli utenti su tutti i dispositivi Apple. Gli autenticatori integrati di Apple, come Touch ID e Face ID, autorizzano l'uso di passkey in Safari e altri browser principali.
Le passkey si sincronizzano su tutti i dispositivi Apple dell'utente con l'aiuto del portachiavi iCloud. Quando un utente abilita il portachiavi iCloud per la prima volta, il dispositivo Apple stabilisce un cerchio di fiducia e crea una nuova coppia di chiavi univoca memorizzata nel portachiavi del dispositivo. In questo modo, iCloud Keychain fornisce la crittografia end-to-end con forti chiavi crittografiche.
A ottobre, Google ha annunciato di portare il supporto passkey a Google Chrome e Android. Questa è stata una pietra miliare nell'integrazione delle passkey nell'ecosistema. Su Chrome e Android, le passkey sono memorizzate in Google Password Manager. Le credenziali vengono sincronizzate tra i dispositivi dell'utente connessi allo stesso account Google.
In futuro, Google prevede di espandere il supporto per le passkey per Android. Una nuova API consentirà l'uso di passkey per le applicazioni Android.
Microsoft
Microsoft ha aperto la strada all'implementazione dell'autenticazione senza password su Internet. Prima del 2022, il supporto per le passkey era già incluso per Windows 365 e Desktop virtuale di Azure.
Microsoft consente accessi senza password utilizzando Windows Hello, un robusto autenticatore di piattaforma ora integrato in Windows 10 e 11. L'implementazione delle passkey di Microsoft è simile a quella di Apple. Ti consente di sincronizzare le tue passkey tra i dispositivi collegati allo stesso account Microsoft.
Altre società che utilizzano passkey
Diverse aziende hanno già adottato l'autenticazione senza password basata sugli standard sviluppati da FIDO Alliance. PayPal, Amazon, eBay, Facebook, Netflix e IBM sono tra gli innovatori che portano l'autenticazione senza password sulle loro piattaforme.
Avvolgendo
Basate sulla crittografia asimmetrica e su molti potenti protocolli e specifiche sviluppati da FIDO Alliance e World Web Consortium, le passkey possono sostituire completamente l'autenticazione basata su password nel prossimo futuro. Le più grandi aziende tecnologiche stanno gradualmente espandendo il supporto per le passkey. Presto potremo dimenticarci degli attacchi di forza bruta e degli accessi non autorizzati.
Dopo anni di ricerca della soluzione giusta per fornire un'esperienza di autenticazione più coerente, le passkey sono qui per semplificare la nostra vita e proteggerci. Dovresti già dimenticare cosa sono le password? Non ancora, ma devi assolutamente essere pronto a usare le passkey.
Il futuro dell'autenticazione è Passkeys! Accedi al tuo sito WordPress con la biometria disponibile solo in iThemes Security Pro
I problemi degli attacchi di forza bruta attraverso il riempimento delle credenziali, gli attacchi di phishing e le password riutilizzate hanno reso le nostre vite digitali meno sicure. Abbiamo tutti cercato di incoraggiare l'autenticazione a 2 fattori come protezione, ma meno del 30% degli utenti utilizza effettivamente 2FA. Gli accessi basati su password sono un problema.
Il futuro dell'autenticazione sono le passkey e iThemes Security Pro è il primo a portare questa tecnologia rivoluzionaria sui siti WordPress. Utilizzando la rivoluzionaria tecnologia WebAuthn basata sulla crittografia pubblica/privata, le passkey rendono le password obsolete. Ora, gli amministratori di siti Web e gli utenti finali possono avere accessi sicuri senza l'inconveniente di ulteriori app a due fattori, gestori di password o requisiti di password complessi.
Kiki ha una laurea in gestione dei sistemi informativi e più di due anni di esperienza in Linux e WordPress. Attualmente lavora come specialista della sicurezza per Liquid Web e Nexcess. Prima di allora, Kiki faceva parte del team di supporto di Liquid Web Managed Hosting, dove ha aiutato centinaia di proprietari di siti Web WordPress e ha appreso quali problemi tecnici incontrano spesso. La sua passione per la scrittura le permette di condividere le sue conoscenze ed esperienze per aiutare le persone. Oltre alla tecnologia, a Kiki piace conoscere lo spazio e ascoltare podcast sul vero crimine.