Condividi tramite

Implementare passkey

  • Articolo

Vedere anche Introduzione ai passkey

Questo argomento descrive come implementare gli accessi passkey tra applicazioni online, aziendali e governative e per i pagamenti. È possibile implementare passkey (invece di password) per fornire siti Web e app con accessi sicuri e descrittivi, per gentile concessione dell'API WebAuthn pubblica.

I provider di servizi consumer, le aziende e i governi di tutto il mondo passano dall'autenticazione basata su moduli (ad esempio password e SMS OTP) agli accessi basati su passkey. Ogni organizzazione ha diversi casi d'uso e requisiti aziendali.

Funzionamento delle passkey

I passkey usano tecniche di crittografia a chiave pubblica standard. Quando un utente esegue la registrazione con un servizio online, il dispositivo client dell'utente crea una nuova coppia di chiavi crittografiche associata al dominio del servizio Web. Il dispositivo mantiene la chiave privata e registra la chiave pubblica con il servizio online. Queste coppie di chiavi crittografiche, denominate passkey, sono univoche e associate al dominio del servizio online.

Il modo in cui funziona l'autenticazione è che il dispositivo dell'utente deve dimostrare il possesso della chiave privata presentando una richiesta di verifica per il completamento dell'accesso. Ciò si verifica dopo che l'utente approva l'accesso in locale nel dispositivo, tramite l'immissione rapida e semplice di una biometria (ad esempio un'identificazione personale) o un PIN locale o il tocco di una chiave di sicurezza FIDO. L'accesso viene completato tramite una risposta di richiesta dal dispositivo dell'utente e dal servizio online. Il servizio non visualizza o archivia mai la chiave privata.

Per registrare una passkey con un servizio online:

  • All'utente viene richiesto di creare una passkey.
  • L'utente verifica la creazione della passkey tramite un metodo di autenticazione locale , ad esempio la biometria.
  • Il dispositivo dell'utente crea una nuova coppia di chiavi pubblica/privata (una passkey) univoca per il dispositivo locale, il servizio online e l'account dell'utente.
  • La chiave pubblica (e solo quella) viene inviata al servizio online ed è associata all'account dell'utente.

Per accedere successivamente usando una passkey:

  • All'utente viene richiesto di accedere usando una passkey.
  • L'utente verifica l'accesso con passkey tramite un metodo di autenticazione locale, ad esempio la biometria.
  • Il dispositivo usa l'identificatore dell'account dell'utente (fornito dal servizio) per selezionare la chiave corretta e firmare la richiesta di verifica del servizio.
  • Il dispositivo client invia nuovamente la richiesta di verifica firmata al servizio, che la verifica con la chiave pubblica archiviata e firma l'utente.

Implementare passkey per consumer, aziende, enti pubblici o pagamenti

Questa sezione è utile se si sta valutando l'implementazione di passkey.

Se non si ha familiarità con FIDO, è consigliabile prima esaminare la panoramica delle specifiche di autenticazione utente. È quindi possibile accedere alle versioni più recenti delle specifiche di autenticazione utente FIDO Alliance in Download Authentication Specifications (Scarica specifiche di autenticazione).

La FIDO Certified Showcase mette in evidenza i membri FIDO Alliance e le loro soluzioni FIDO Certified. È un'ottima risorsa se si vuole distribuire FIDO.

Il FIDO Enterprise Deployment Working Group (EDWG) ha sviluppato una serie di white paper che forniscono indicazioni per i leader e i professionisti che prendono in considerazione la possibilità di passare da PMI a grandi aziende. Per comprendere i punti decisionali chiave, vedere Enterprise.

Se il campo è lungo le linee dei servizi cittadini o delle applicazioni dei dipendenti pubblici, vedere Enti pubblici.

Per altre info sugli scenari di pagamento ideali per i passkey, vedi Pagamenti.

Passaggi successivi

Vedere quindi Linee guida per la progettazione per passkey.

Altre informazioni