Differenza tra password e passkey

Hai sentito parlare di password e di passkey ma non sai qual è il loro significato? Eccoti allora spiegata la differenza tra password e passkey.

Indice

Differenza tra password e passkey

Che cos’è la password?

In informatica, la password (si pronuncia pàssuord, letteralmente parola d’ordine), detta a volte anche parola d’accesso o chiave d’accesso, non rappresenta altro che una sequenza di caratteri alfanumerici che viene usata o per accedere in modo esclusivo ad una determinata risorsa informatica (come, per esempio, ad un computer, ad un’email, ad una rete, ad un programma o ad uno sportello automatico), o per crittografare qualcosa, proteggendo ad esempio un file o una cartella.

Una password viene solitamente associata ad uno specifico username in modo tale da poter essere riconosciuti da parte del sistema al quale si vorrebbe accedere. In altri termini, l’username e la password formano assieme le cosiddette credenziali di accesso, ossia una delle forme più comuni di autenticazione nel mondo informatico che viene impiegata, soprattutto, nella procedura di login. Affinché possa svolgere il compito per il quale è stata creata, la password dovrebbe rimanere sempre nascosta ed esser scelta con determinate caratteristiche, evitando perciò l’utilizzo di parole di senso compiuto.

Che cos’è la passkey?

In informatica, la passkey (si pronuncia pàsschi, traducibile come passe-partout o chiave universale) è una credenziale digitale utilizzata come metodo di autenticazione per un sito o un’app. In altre parole, tramite una passkey è possibile autenticarsi su un sito o un’app senza la necessità di usare né un username e né una password. Questo è reso possibile in quanto le passkey vengono memorizzate solo sul dispositivo dell’utente, quindi non c’è più alcuna password che possa essere intercettata da potenziali hacker o truffatori.

Come funziona una passkey

Quando tenti di accedere ad un sito che utilizza le passkey, il sito in questione invierà in automatico una notifica push allo smartphone che hai utilizzato quando hai registrato l’account di quel sito. Successivamente, usando il tuo volto, la tua impronta digitale o un codice PIN per sbloccare il tuo dispositivo, quest’ultimo creerà una chiave di accesso univoca e la comunicherà al sito a cui stai tentando di accedere. A quel punto sarai automaticamente riconosciuto, il tutto senza che le tue informazioni di accesso debbano essere digitate o che i tuoi dati biometrici vengano trasmessi tramite una connessione Wi-Fi potenzialmente insicura.

Le passkey sono simili all’autenticazione a due fattori in cui, per autorizzare il sito o l’app a concedere la richiesta di accesso, gli utenti immettono prima una password sul sito o sull’app di interesse e poi ricevono un’email o una notifica push sul proprio telefono. Oltre a richiedere una password tradizionale, l’autenticazione a due fattori differisce però dalle passkey in quanto può utilizzare anche il Wi-Fi.

Le passkey, d’altra parte, utilizzano il Bluetooth perché i limiti fisici di questa tecnologia implicano che un utente dovrà per forza avere il dispositivo di autenticazione nelle immediate vicinanze. Ciò limita ulteriormente le possibilità che un truffatore o un hacker possa accedere all’account di un certo utente. Le passkey, che si basano sullo standard WebAuthn, funzionano solo per i siti o le app su cui le passkey sono state create appositamente. Le passkey vengono quindi memorizzate sul dispositivo dell’utente anziché su un server fisico o basato sul cloud come avviene solitamente per le comuni password.

Quando devi accedere ad un sito su un computer che normalmente non usi – indipendentemente dal fatto se tu stia utilizzando un dispositivo della Apple, della Google, della Samsung o di un qualsiasi altro produttore – con la tecnologia passkey abilitata, la schermata di accesso sul sito avrà un codice QR da scansionare con il tuo smartphone.

Mediante il Bluetooth abilitato sul tuo smartphone – e quest’ultimo che si trova nella stessa gamma di frequenza del Bluetooth del dispositivo su cui stai tentando di accedere – riceverai subito sul tuo smartphone un codice PIN o una notifica push per utilizzare l’identificazione biometrica. Una volta fatto ciò, il tuo smartphone darà il via libera al sito che, a sua volta, ti autenticherà consentendoti di accedere.

È meglio usare la password o la passkey?

Le password sono lo standard attualmente più utilizzato per effettuare l’accesso su un sito o un’app, ma non sono lo standard perfetto. Questo perché, innanzitutto, le persone sono costrette a ricordare la propria password, il che può essere una seccatura quando bisogna ricordare più di una password. Per evitare che la password scelta venga trovata da persone malintenzionate, gli utenti devono poi creare di volta in volta anche una password diversa oltre che complessa.

Le password sono inoltre vulnerabili agli attacchi informatici e alle violazioni dei dati. I malintenzionati, a prescindere se questi siano hacker o truffatori, possono utilizzare il phishing per indurre le persone a condividere le proprie password sui siti fraudolenti.

D’altro canto, le passkey non possono essere rubate così facilmente perché i dati sono archiviati su un dispositivo e non su un server remoto. In altre parole, le passkey sono molto più sicure delle password perché i malintenzionati hanno bisogno di accedere sia al tuo dispositivo che alla tua impronta digitale, al tuo riconoscimento facciale o al tuo codice PIN per sbloccare il dispositivo stesso (altrimenti, per riuscire nel loro intento, i malintenzionati dovrebbero essere fisicamente vicini al tuo dispositivo per utilizzarne il Bluetooth). Se qualcuno dovesse perdere il proprio dispositivo, il ladro o l’hacker di turno non sarà comunque in grado di accederci senza ricorrere all’autenticazione biometrica.

Ogni passkey è inoltre unica e viene creata utilizzando un algoritmo di crittografia avanzata. In questo modo l’utente non deve più preoccuparsi di eventuali password deboli che possano essere indovinate o rubate. Senza contare che le persone scelgono spesso la stessa password per effettuare l’accesso su più siti, quindi se un malintenzionato dovesse scoprire la password scelta, potrebbe facilmente ottenere l’accesso su più siti in una volta sola.

Conclusioni

Le passkey sono state progettate per essere più convenienti e resistenti rispetto ai metodi di autenticazione convenzionali. Normalmente sono protette tramite il possesso del dispositivo o della chiave di sicurezza e spesso utilizzano la biometria come ulteriore fattore di sicurezza, nessuno dei quali richiede all’utente di memorizzare una password. Dunque, piuttosto che affidarsi su dei metodi di accesso suscettibili ad attacchi di phishing, a tentativi di hacking, a keylogger, a violazioni dei dati e ad altre lacune di sicurezza, sarebbe meglio utilizzare le passkey in modo tale da essere autenticati senza problemi e nel minor tempo possibile.

Arrivati comunque a questo punto dovresti aver finalmente capito qual è la differenza tra password e passkey.