Il gestore di password open source Bitwarden ha annunciato che tutti gli utenti possono ora accedere ai propri vault delle password web utilizzando una passkey. Queste sono l'alternativa più sicura alle password impostate dalla maggior parte delle persone e sono resistenti al phishing. Nel caso di Bitwarden consentono agli utenti di decrittografare il proprio vault senza la necessità della password principale, di un indirizzo e-mail o dell'autenticazione a due fattori (2FA). L'implementazione delle passkey di Bitwarden è attualmente in versione beta. Questo si basa sull'estensione PRF WebAuthn sia per autenticare gli utenti sia per ottenere una chiave di crittografia e decrittografare i dati nel vault. Ryan Luibrand, senior product marketing manager di Bitwarden, ha spiegato che le applicazioni crittografate end-to-end, come Bitwarden, sono in grado autenticare gli utenti, ma anche crittografare e decrittografare in modo sicuro i dati.
Bitwarden: accessi ai vault sempre sicuri grazie all’estensione PRF WebAuthn
Il processo di crittografia richiede una chiave statica, che può essere derivata da una password. Una passkey, non condivisa con l'applicazione, genererebbe un valore diverso per ciascuna autenticazione. Per rendere più comodo l'accesso al vault senza sacrificare la sicurezza, Bitwarden ha utilizzato l'estensione PRF WebAuth. Si tratta di un metodo che consente di "derivare un valore unico e fisso da una passkey". PRF è uno standard emergente che consente la creazione di chiavi di crittografia simmetriche da un autenticatore, come una chiave di sicurezza, se utilizzata con un browser compatibile. Quando un utente registra una passkey utilizzando una chiave di sicurezza hardware, consente alla piattaforma di crittografare i dati del vault dell'utente utilizzando la chiave di crittografia associata.
L'estensione PRF non memorizza le chiavi sull'hardware ma genera invece chiavi utilizzando i dati di input (salt) dalla requirely party (il sito web). Poiché la generazione delle chiavi è un processo deterministico, lo stesso input produrrà sempre lo stesso output. Ciò significa che le passkey possono essere utilizzate in modo affidabile per la stessa piattaforma o servizio online. Durante la fase beta, la piattaforma consentirà agli utenti di tutti i piani di impostare un massimo di cinque passkey per l'app web. La funzionalità è attualmente disponibile nei browser basati su Chromium che supportano PRF WebAuthn, ma si prevede di estenderla a più client in futuro. Per le passkey che non supportano l'estensione PRF WebAuthn, gli utenti possono comunque autenticarsi senza e-mail o 2FA, utilizzando la password Bitwarden per la decrittografia.