Uno degli aspetti più pressanti della nostra vita quotidiana, digitale ma non solo, è di certo quello della sicurezza. Se per esempio hai un conto online, vuoi che questo conto sia protetto in maniera adeguata e non venga attenzionato da criminali informatici.
Ma anche senza scomodare l’home banking, tutta una serie di attività che compiamo ogni giorno hanno di per sé una componente di sicurezza che non va sottovalutata. Per questo motivo proprio i sistemi che garantiscono la sicurezza online stanno cambiando.
Uno dei cambiamenti più evidenti è il lento passaggio che stiamo vedendo dalle password tradizionali alle nuove passkey. Vediamo quindi quali sono le differenze tra una password e una passkey per capire anche qual è la sicurezza aggiuntiva che danno rispetto anche alla parola chiave più complessa che tu, Google o il gatto che ti passeggia sulla tastiera potrete mai inventare.
Prima di passare a parlare però di questi nuovi sistemi per essere più tranquilli online vale la pena ricordare che non esiste un sistema di sicurezza che sia completamente inviolabile. Quello però che puoi fare è mettere in campo sistemi che rendano più lungo e complicato raggiungere i dati personali tuoi o dei tuoi utenti per scoraggiare una fetta sempre più grande di malintenzionati.
Che cosa significa passkey e che differenza c’è con una password?
I due termini condividono gioco forza una parte di significato: pass. È chiaro quindi che si tratta di sistemi di accesso per garantire che l’utente che cerca di fare login sia effettivamente autorizzato a fare quello che sta cercando di fare. Qualunque sito web che abbia una zona privata chiede che venga inserito un nome utente e una password. Ma in alcuni casi, anziché una password tradizionale, viene impiegato un sistema di autenticazione leggermente diverso.
Un sistema che passa proprio attraverso le passkey. Andando per esempio a leggere sul blog ufficiale di Google, la spiegazione di che cosa sia una passkey inizia in questo modo: “le passkey sono una nuova funzione di computer e smartphone che ti permettono di accedere in maniera sicura ai tuoi account sul web utilizzando elementi biometrici come un’impronta digitale o la scansione del volto oppure un pin blocca schermo”. Si tratta di sistemi FIDO: Fast IDentity Online.
Un’altra parte della spiegazione la possiamo avere invece dal podcast Your Website Engineer che ha dedicato qualche settimana fa una intera puntata proprio a che cosa sono le passkey, come funzionano, quali sono i loro vantaggi e che cosa aspettarci nel futuro. La spiegazione data sul podcast si divide in una più tecnica e, per utilizzare le parole di Dustin Hartzler, “una spiegazione come se avessi 5 anni”. Cominciamo con la spiegazione tecnica che assomiglia un po’ alle parole che abbiamo già trovato sul blog di Google.
Le passkey sono “conosciute anche come chiavi crittografiche e sono uniche stringhe di caratteri generati attraverso algoritmi complessi. Consistono di una coppia, una chiave pubblica condivisa apertamente e una chiave privata che viene tenuta segreta”. Quindi innanzitutto la password in questo risulta immediatamente diversa. Se infatti nel momento in cui inserisci nome utente e password tutto quello che deve accadere è che la password che inserisci corrisponda a quella che è stata salvata dai sistemi, nel caso delle passkey c’è un ulteriore passaggio. Questa è la spiegazione tecnica.
Forse però anche noi abbiamo bisogno della spiegazione come se avessimo 5 anni e, di nuovo, questo è quello che si trova nel podcast di Your Website Engineer: bisogna vedere la passkey come una coppia di chiavi che permettono di aprire un forziere. Una delle due chiavi, nell’esempio del podcast quella dorata, è la chiave che come utente puoi mostrare a chiunque. Addirittura “puoi attaccarla su una bacheca e lasciare che tutti la guardino”.
Però questa prima chiave inserita nel forziere da sola non fa nulla. Perché esiste la seconda chiave, quella d’argento, che è privata “e quando vuoi aprire il forziere e vedere quello che c’è dentro utilizzi la chiave d’argento“. Il fatto che ci siano due elementi di protezione rispetto a uno è già una differenza evidente rispetto alle password tradizionali.
Ma un’altra differenza che è altrettanto importante è il modo in cui si generano le passkey rispetto alle password. Le passkey infatti tecnicamente non si generano. In qualità di utente non devi fare nulla. Niente regole da seguire, niente maiuscole, niente caratteri speciali, niente almeno 8 caratteri. La sicurezza viene quindi dal fatto che non essendo qualcosa che l’utente crea di sua spontanea volontà non è neanche qualcosa che i criminali informatici possono farsi dare.
E infatti, sempre nel podcast di Hartzler, viene sottolineato come le passkey “sono resistenti al phishing” e sono anche resistenti alle eventuali compromissioni dei database perché, sempre per il fatto che sono composte da due elementi che si devono incontrare, anche nel caso in cui un criminale riuscisse ad avere la famosa chiave d’oro non può avere la chiave d’argento, che è in mano all’utente.
Avere le passkey su WordPress?
È chiaro che parlando di passkey come elementi di sicurezza ci si può domandare se esistono sistemi che permettono di avere questa autenticazione a più fattori anche sul proprio sito WordPress. Per WordPress.com e anche per WordPress.org sono disponibili sistemi di autenticazione a due fattori. Trovi le indicazioni nel tuo profilo alla sezione Sicurezza.
Ma si tratta di sistemi che funzionano solo per l’accesso al sito WordPress in qualità di gestore dei contenuti. Che cosa puoi invece utilizzare se vuoi rendere l’esperienza dei tuoi utenti più sicura? In questo ti vengono incontro alcuni plugin. Dal podcast di Your Website Engineer arriva per esempio il consiglio di dare una guardata a quello che può fare Solid WP, che una volta si chiamava iThemes e che consente di attivare l’autenticazione attraverso le passkey.
Non tutti i siti costruiti con WordPress hanno nei fatti bisogno davvero di una forma di autenticazione forte per gli utenti che li visitano ma è chiaro che se questi utenti ti affidano dati delicati, come sono per esempio quelli personali o dei propri conti correnti, vuoi che si sentano realmente al sicuro e l’implementazione delle passkey può in questo aiutarti.
