Si applica a: Autenticazione a più fattori AuthPoint, Sicurezza totale dell'identità AuthPoint
L’autenticazione tramite passkey (chiavi di accesso) rappresenta un approccio moderno e più sicuro per accedere ad applicazioni e servizi senza l’utilizzo di password tradizionali. Questo metodo consente agli utenti di autenticarsi utilizzando il proprio dispositivo e, nella maggior parte dei casi, dati biometrici, eliminando la necessità di ricordare credenziali complesse. A differenza delle password, le passkey non possono essere riutilizzate, intercettate o sottratte tramite attacchi di phishing. Questo perché non esiste una credenziale condivisa da inserire manualmente: l’autenticazione avviene attraverso un processo crittografico legato al dispositivo dell’utente.
Anche in presenza di autenticazione a più fattori (MFA), le password rimangono un punto vulnerabile. Un attaccante potrebbe infatti rubare le credenziali e convincere l’utente ad approvare una richiesta di accesso (ad esempio tramite notifica push o codice OTP). Con le passkey, invece, l’accesso richiede il possesso del dispositivo e una verifica locale (come impronta digitale o riconoscimento facciale), rendendo questo tipo di attacco estremamente difficile.
Informazioni sulle chiavi di accesso
Una passkey è una credenziale digitale memorizzata su un dispositivo dell’utente, come uno smartphone o un computer. Questa credenziale sostituisce completamente la password nel processo di autenticazione.
Il funzionamento si basa su un sistema crittografico a coppia di chiavi:
- Una chiave pubblica, memorizzata dal servizio o dall'applicazione
- Una chiave provata, conservata in modo sicuro sul dispositivo dell'utente
La chiave privata non lascia mai il dispositivo, garantendo un elevato livello di sicurezza. Le passkey vengono gestite direttamente dal sistema operativo o da servizi integrati, come:
- Portachiavi iCloud
- Google Password Manager
- Windows WebAuthn
Non è necessario utilizzare l’app mobile AuthPoint per la creazione o la gestione delle passkey.
Come funzionano le password
Il processo di autenticazione con passkey è progettato per essere semplice per l’utente ma altamente sicuro:
- L’utente accede a un’applicazione o servizio protetto
- Viene reindirizzato alla pagina di autenticazione SSO di AuthPoint
- Inserisce il proprio username o indirizzo email
- Seleziona l’autenticazione tramite passkey
- AuthPoint invia una richiesta di autenticazione al dispositivo associato
- Il dispositivo verifica l’identità dell’utente (biometria o metodo locale)
- La richiesta viene firmata tramite la chiave privata presente sul dispositivo
- Il servizio verifica la firma utilizzando la chiave pubblica e concede l’accesso
Il dispositivo utilizzato per autenticarsi può essere diverso da quello utilizzato per accedere. Ad esempio, è possibile accedere da un computer e completare l’autenticazione tramite smartphone.
Come Authpoint supporta le chiavi di accesso
AuthPoint supporta l’autenticazione tramite passkey per diverse tipologie di risorse, tra cui:
- Risorse OIDC
- Risorse FireCloud
- Microsoft Entra EAM
Per abilitare l’utilizzo delle passkey, è necessario configurare le policy Zero Trust e attivare questa modalità di autenticazione. Gli utenti associati a tali policy potranno utilizzare le passkey per accedere alle risorse definite.
Se all’interno della stessa policy vengono abilitati sia MFA che passkey, gli utenti possono scegliere il metodo di autenticazione preferito al momento dell’accesso.
È importante sottolineare che le passkey sono considerate un metodo di autenticazione completo, in quanto soddisfano i requisiti di sicurezza basati su:
- qualcosa che si possiede (il dispositivo)
- qualcosa che si è (biometria)
Per questo motivo, non è necessario combinarle obbligatoriamente con MFA.
Dopo l’attivazione, agli utenti verrà richiesto di registrare una passkey al primo accesso a una risorsa supportata. Una volta configurata, la passkey potrà essere utilizzata per autenticazioni successive.
Nel caso in cui l’utente non abbia accesso al proprio dispositivo, può comunque autenticarsi utilizzando password e MFA, se previsto dalla policy.