Apple sta lavorando su un meccanismo che permetterà di evitare la digitazione di password sfruttando una funzionalità denominata “passkey” per il Portachiavi iCloud, un sistema che prevede un meccanismo di autenticazione alla stregua di un token hardware, rendendo non più necessaria la memorizzazione delle password ma senza mettere a rischio dati sensibili.
Il sistema è stato mostrato nell’ambito della conferenza per sviluppatori WWDC21. In una sessione della WWDC denominata “Move beyond passwords”, Apple ha fatto cenno ad una funzionalità denominata “passkey nel portachiavi iCloud”. La funzione in questione è utilizzabile per il testing nelle beta di iOS 15 e macOS Monterey ma non è ancora del tutto pronta.
La passkey, spiega Appleinsider, prevede essenzialmente il ricorso a una chiave pubblica e una chiave privata e si appoggia allo standard WebAuthn, un’opzione di autenticazione uniforme che non si basa più su password ma su dati biometrici. Questo standard prevede che gli utenti possano accedere ai propri account utilizzando le impronte digitali o il riconoscimento facciale. Vista la natura fisica e personale di questi dati d’accesso, è in pratica impossibile dimenticarli o trasmetterli involontariamente; l’adozione di un sistema del genere – tra le altre cose- permetterebbe di risolvere una volta per tutte anche il problema del phishing.
Gli utenti di iPhone, Mac e iPad non avranno bisogno di token hardware e potranno eseguire il login a vari servizi in totale sicurezza usando lo standard WebAuthn. Eseguendo l’autenticazione direttamente sul dispositivo, i dati sensibili (es. l’impronta digitale) e tramite una procedura di public key (chiave pubblica) viene inviata una conferma al servizio web che l’utente non deve inserire né password né nome utente.
Il sistema previsto da Apple facilita notevolmente l’implementazione dell’autenticazione web agli sviluppatori di servizi e siti web vari e dovrebbe garantire una rapida diffusione dello standard. Poiché non spetta più agli utenti creare nomeutente e password, si annulla anche il rischio che gli stessi dati vengano utilizzati per account diversi. Lo standard WebAuthn prevede che dati di accesso univoci siano disponibili per ogni account di ciascun utente. Basta impostare la prima volta il meccanismo di autenticazione (impronte digitali o volto) con il servizio web ed effettuare di volta in volta il login, senza bisogno di ricordare ogni volta password, guadagnando in sicurezza e velocità.