Sincronizzazione delle passkey: ecco come Microsoft risolve il problema

Le passkey rappresentano una soluzione più sicura delle password tradizionali, ma la sincronizzazione tra dispositivi resta problematica. Microsoft ha annunciato l'integrazione delle passkey in Windows 11 tramite API, permettendo l'uso su più dispositivi. Restano sul tavolo alcuni dubbi.

Le passkey sono da molti ritenute come la soluzione più adatta per costruire un mondo privo di password. Sono infatti più sicure e pratiche delle password tradizionali, che risultano vulnerabili agli attacchi phishing e alle violazioni dei dati, anche quando si utilizzasse l’autenticazione a due fattori (2FA) o quella multifattore (MFA). La soluzione passkey porta con sé tanti vantaggi, ma anche i suoi svantaggi. La sincronizzazione delle passkey è uno di questi e il problema non può assolutamente dirsi risolto, neppure adesso che Microsoft ha presentato la sua proposta. Vediamo perché.

Windows 11 diventa interoperabile con i fornitori di passkey

Microsoft ha deciso di salire convintamente sul treno passkey, considerando questa soluzione come parte del suo impegno per un futuro senza password.

In una nota dal titolo Passkeys on Windows, Microsoft ha annunciato il supporto API per consentire ai fornitori di passkey di integrarsi direttamente nella piattaforma Windows 11. Tra i partner ci sono nomi come 1Password e Bitwarden. L’integrazione permette agli utenti di utilizzare la stessa passkey creata su dispositivi mobili anche su Windows 11, avvalendosi – a detta di Microsoft – di un livello di sicurezza aumentato.

Esperienza nativa migliorata

Windows 11 offrirà una nuova esperienza con Windows Hello quando si creano e usano le proprie passkey. Gli utenti potranno salvare le passkey in un account Microsoft o in altri modi, garantendo un’esperienza fluida e sicura tramite riconoscimento facciale, uso di impronte digitali o inserimento di un PIN in Windows.

Una volta creata una passkey, diventa possibile sincronizzarla tra vari dispositivi Windows 11, garantendo un accesso senza interruzioni protetto dalla crittografia end-to-end e dal chip Trusted Platform Module (TPM).

Perché la sincronizzazione delle passkey resta un problema

Purtroppo le passkey non sostituiscono del tutto le password tradizionali. È vero che gli utenti possono godere della massima protezione contro il phishing: poiché ogni passkey si riferisce a uno specifico sito/server, non c’è il rischio di usare le credenziali su siti “fasulli”. La chiave privata collegata alla passkey e memorizzata in un’area sicura sul dispositivo locale può essere utilizzata soltanto sul sito a cui essa si riferisce. Viceversa, la chiave pubblica non può essere in alcun modo utilizzata dai criminali informatici per derivare la chiave privata.

Il problema è che effettuare un’autenticazione con la propria passkey da dispositivi diversi può risultare complesso, se le chiavi private sono memorizzate in un unico device.

Vi è quindi la necessità di creare più passkey oppure di attivare una forma di sincronizzazione tra dispositivi. Questo lo si fa tramite codice QR e tecnologie come Bluetooth, NFC o USB oppure ricorrendo a un server cloud. E quest’ultimo approccio potrebbe essere sgradito a molti: si va a coinvolgere un soggetto terzo per il trasferimento di credenziali che dovrebbero restare sul dispositivo locale. Seppur con tutte le accortezze e garanzie possibili.

Microsoft utilizza il cloud per sincronizzare le passkey in Windows 11

Seppur adottando forme di protezione evolute, Microsoft fa proprio questo: le passkey sono scambiate tra i dispositivi dell’utente appoggiandosi all’account di Windows gestito sul cloud.

Al momento, infatti, non esiste un metodo universalmente accettato e interoperabile per sincronizzare le passkey tra i vari dispositivi in possesso di un unico utente.

Così, Microsoft racconta che avvalendosi delle sue API, fornitori di passkey di terze parti possono abilitare l’integrazione e la sincronizzazione con la piattaforma Windows 11. Utilizzando eventuali “connettori” forniti da altre realtà (ad esempio Google, Apple,…) possono addirittura fungere da intermediari tra una piattaforma e l’altra.

In definitiva, la sincronizzazione delle passkey tramite l’account Microsoft, nonostante sia crittografata e considerabile come un buon passo avanti, potrebbe sollevare preoccupazioni sul piano della gestione dei dati personali. Gli utenti potrebbero essere scettici riguardo alla centralizzazione delle proprie credenziali in un unico account Microsoft, temendo potenziali vulnerabilità o problemi legati alla privacy, nonostante l’uso di tecnologie come il TPM e la crittografia end-to-end.

Credit immagine in apertura: iStock.com – Just_Super

Ti consigliamo anche

Link copiato negli appunti