Metodi di Login e Autenticazione con Codice QR

Metodi di autenticazione sicuri e comodi sono più cruciali che mai. Con il crescente numero di servizi online a cui accediamo ogni giorno su dispositivi diversi, i sistemi tradizionali basati su password stanno diventando meno efficaci e più macchinosi. Soprattutto per le aziende con un gran numero di utenti sulle loro app native (app per iOS o Android), questo ha portato a una crescente domanda di login basati su codice QR, che offrono un modo rapido e semplice per autenticare gli utenti senza dover digitare password complesse o persino nomi utente.

In questo contesto, emergono domande come le seguenti:

• Come funziona l'autenticazione basata su codice QR con le app native?
• Qual è il confronto con l'autenticazione basata su codice QR tramite passkey?

Native QR Code Revolut

Passkeys QR Code Apple

Esempi importanti di codici QR nei login di app native sono i servizi app-first come WhatsApp, TikTok o Revolut. Allo stesso tempo, c'è un elenco in rapida crescita di aziende che supportano i login con passkey.

In questo articolo, esploreremo le tecniche di autenticazione basate su codice QR. Non ci concentreremo sui codici QR TOTP utilizzati per l'inizializzazione del secondo fattore (con app aggiuntive come Authy o Google Authenticator).

Confronteremo anche diversi metodi di autenticazione basati su QR, esaminandone punti di forza, debolezze e potenziali vulnerabilità.

Alla fine, avrai una comprensione più chiara se l'autenticazione basata su codice QR sia la scelta giusta per le tue esigenze di sicurezza.

I codici QR, o Quick Response code, sono codici a barre bidimensionali che possono memorizzare una varietà di informazioni, dagli URL al testo semplice. Sviluppati originariamente nel 1994 da Denso Wave, una consociata del Gruppo Toyota, i codici QR sono stati progettati per tracciare i componenti automobilistici in modo rapido ed efficiente. Da allora, i codici QR si sono evoluti e hanno trovato il loro posto in vari settori grazie alla loro capacità di memorizzare una grande quantità di dati in un piccolo quadrato scansionabile.

Il termine "QR Code" è in realtà un marchio registrato di Denso Wave, sebbene la tecnologia stessa sia diventata ampiamente adottata e non sia limitata dal marchio. I codici QR sono caratterizzati dai loro motivi quadrati in bianco e nero, che possono essere scansionati utilizzando uno smartphone o un dispositivo di scansione dedicato (scanner QR) per accedere alle informazioni codificate.

Il supporto per i codici QR è integrato nei sistemi operativi mobili come iOS e Android da diversi anni. Entrambe le piattaforme supportano nativamente la scansione dei codici QR tramite le rispettive app della fotocamera, rendendo più facile per gli utenti interagire con i codici QR senza la necessità di software aggiuntivo.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Generalmente, i codici QR utilizzati in combinazione con le app sfruttano URL personalizzati o link per app. Questi link possono attivare l'apertura automatica dell'app se è installata sul dispositivo. Se l'app non è installata, il codice QR può indirizzare l'utente all'app store pertinente per scaricare e installare l'app, facilitando così un'esperienza utente fluida. Qui puoi vedere un elenco di percorsi che Revolut ha registrato per la gestione delle app:

https://revolut.com/.well-known/apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx-debug",
                "paths": ["/app/*"]
            }
        ]
    }
}

Come puoi vedere, tutti i link che iniziano con "/app/*" vengono gestiti; vedrai un esempio nella prossima sezione. Incorporando URL personalizzati e link per app all'interno dei codici QR, aziende e sviluppatori possono creare esperienze su misura che portano gli utenti direttamente all'app o al servizio desiderato, migliorando sia la comodità che la sicurezza nelle interazioni degli utenti.

Il login con codice QR tramite app native sfrutta l'interazione fluida tra la fotocamera di un dispositivo mobile e specifici URL incorporati nei codici QR. Il processo inizia tipicamente con un utente che scansiona un codice QR visualizzato su un sito web o un altro dispositivo utilizzando la fotocamera del proprio smartphone. Il codice QR contiene un URL personalizzato progettato specificamente per interagire con una particolare app nativa, come quelle che si trovano sui dispositivi iOS o Android.

Ad esempio, un servizio come Revolut potrebbe utilizzare un codice QR con un URL come https://revolut.com/app/challenges/qr/e2d78521-d38a-4773-b1b8-27a902a36b4b. Questo URL è destinato a essere riconosciuto dall'app Revolut installata sul dispositivo dell'utente.

Quando il codice QR viene scansionato, l'app intercetta automaticamente questo link, lo riconosce e visualizza l'app corrispondente (nell'esempio sopra, vedi "Revolut" identificata come l'app corrispondente), e procede a gestire internamente il processo di login. Questa interazione è facilitata da meccanismi di deep linking supportati sia da iOS che da Android, che consentono a link specifici di aprirsi direttamente all'interno di un'app installata anziché in un browser web:

Se l'app non è installata sul dispositivo, il sistema operativo di solito chiede all'utente di installarla reindirizzandolo all'app store appropriato, che sia l'App Store di Apple per i dispositivi iOS o il Google Play Store per i dispositivi Android.

Ciò garantisce che, anche se l'utente non ha l'app installata inizialmente, possa ottenerla rapidamente e facilmente, continuando il processo dopo l'installazione.

Nella maggior parte dei casi, i clienti esistenti che hanno già installato l'app sperimenteranno un processo di login fluido. Scansionano il codice QR, l'app si apre automaticamente e l'autenticazione viene completata senza la necessità di inserire un nome utente o una password. Questo metodo offre principalmente comodità agli utenti, poiché nessuna informazione sensibile viene trasmessa durante il processo di scansione del codice QR.

Tecnicamente, ciò che accade è che una sessione di login esistente su un telefono cellulare viene utilizzata per autenticare una nuova sessione sul desktop. Esistono diverse tecniche per farlo. Una versione molto elaborata è pubblicata nel Whitepaper sulla sicurezza di WhatsApp sotto Client Registration → Companion Device Registration → Link Using QR-Code.

Tratto da https://engineering.fb.com/2021/07/14/security/whatsapp-multi-device/

Poiché WhatsApp supporta l'accesso multi-dispositivo e la crittografia end-to-end dal 2021, l'architettura non è perfettamente adatta per l'autenticazione, dato che il protocollo è progettato principalmente per un'applicazione di messaggistica multi-dispositivo. Esistono approcci più semplici per ottenere un handshake sicuro, a seconda dell'effettiva implementazione dell'autenticazione. Ciò che bisogna tenere a mente è che è sempre necessario garantire una gestione sicura delle sessioni utente e dei canali di comunicazione tra il dispositivo e il server. Indipendentemente dalla complessità dell'implementazione del login con autenticazione tramite codice QR, alcuni principi chiave di sicurezza dovrebbero essere sempre seguiti:

1. Integrità della sessione: La sessione di login esistente sul telefono cellulare, utilizzata per autenticare una nuova sessione su un desktop o un altro dispositivo, deve essere convalidata in modo sicuro. Ciò comporta tipicamente il controllo dell'autenticità della sessione utilizzando token sicuri o altri metodi crittografici per prevenire il dirottamento della sessione o attacchi di replay.
2. Comunicazione crittografata: Tutta la comunicazione tra l'app mobile, il server e il dispositivo che richiede l'autenticazione dovrebbe essere crittografata tramite HTTPS. Ciò aiuta a garantire che le informazioni sensibili, inclusi i token di sessione e i dettagli di login, non possano essere intercettate o manomesse durante la trasmissione.
3. Generazione sicura di token: Qualsiasi token o credenziale generata per il processo di autenticazione con codice QR dovrebbe essere generata in modo sicuro. Ciò potrebbe includere il pinning al dispositivo richiedente in modo che non possa essere utilizzato su altri dispositivi come misura precauzionale (ad es. Browser-Agent).
4. Login verificato dall'utente: Prima di finalizzare il processo di autenticazione, si consiglia di prevedere un passaggio in cui l'utente possa verificare o confermare il tentativo di login. Potrebbe trattarsi di una notifica sul dispositivo mobile che richiede l'approvazione dell'utente e mostra i dettagli dell'autenticazione, aggiungendo un ulteriore livello di sicurezza (come si può vedere nello screenshot sopra).
5. Restrizioni basate sul tempo: Implementare restrizioni basate sul tempo sulla validità del codice QR per ridurre al minimo il rischio che il codice QR venga utilizzato per accessi non autorizzati se finisce nelle mani sbagliate. Limitare l'intervallo di tempo in cui un codice QR può essere utilizzato aiuta a ridurre le potenziali minacce alla sicurezza. Dovrebbe aggiornarsi automaticamente e avere una validità massima inferiore a 120 secondi per evitare attacchi man-in-the-middle.
6. Restrizioni basate sulla posizione: Anche le limitazioni relative ai tentativi di login, come i rilevamenti di "viaggi impossibili", dovrebbero essere applicate con i codici QR. Ciò potrebbe comportare l'intercettazione automatica dei tentativi di login basata su intelligence sospetta basata su IP, come la generazione di un codice QR negli Stati Uniti mentre l'app viene aperta per l'autenticazione in Europa.
7. Rate-Limiting, logging e monitoraggio: Implementare un rate-limiting, un logging e un monitoraggio appropriati per rilevare e rispondere a qualsiasi attività sospetta associata ai login con codice QR. Ciò aiuta a identificare potenziali violazioni della sicurezza e ad intraprendere azioni tempestive per proteggere gli account degli utenti.
8. Notifica all'utente: I tentativi di login riusciti su un nuovo dispositivo dovrebbero attivare una notifica via email all'utente con informazioni importanti (come quando e dove è stato tentato il login, con quale dispositivo e indirizzo IP) e istruzioni su cosa fare se il login non è stato attivato dall'utente (come contattare immediatamente il servizio, monitorare l'account o rimuovere tutti i dispositivi connessi se il sistema lo supporta).

Seguendo queste best practice, le aziende possono implementare un'autenticazione basata su codice QR che sia user-friendly e sicura, sfruttando la comodità dei dispositivi mobili e mantenendo al contempo solide misure di sicurezza per proteggere i dati e le sessioni degli utenti.

Become part of our Passkeys Community for updates & support.

Join

Ora diamo un'occhiata ai login con codice QR tramite passkey.

L'autenticazione basata su passkey offre un sistema di autenticazione cross-device sicuro, integrato negli ecosistemi iOS e Android e specificato nello standard WebAuthn. Attualmente, solo le passkey create su iOS o Android possono essere utilizzate per l'autenticazione cross-device (CDA) tramite codici QR.

Analizziamo come funziona il login con codice QR tramite passkey. Il diagramma seguente mostra una panoramica generale dei diversi passaggi.

Sia per iOS che per Android, le passkey sono memorizzate nell'authenticator nativo della piattaforma (ad es. Face ID, Touch ID o Android Biometrics). Ciò garantisce che le passkey di un utente siano disponibili su tutti i suoi dispositivi che hanno effettuato l'accesso con lo stesso ID Apple (per iOS) o account Google (per Android) su versioni moderne del sistema operativo.

• Entrambi i dispositivi necessitano di una connessione Internet attiva: Entrambi i dispositivi coinvolti nel processo di autenticazione devono avere una connessione Internet attiva. Questo è fondamentale per sincronizzare i dati e verificare le credenziali durante il processo di autenticazione.
• Entrambi i dispositivi devono supportare il Bluetooth: Entrambi i dispositivi devono supportare il Bluetooth e il Bluetooth deve essere attivato. Il Bluetooth viene utilizzato per stabilire la prossimità tra i dispositivi, garantendo che i dispositivi siano vicini l'uno all'altro durante l'autenticazione, mitigando così il rischio di phishing da una postazione remota.

• Passkey desktop legate al dispositivo: Le passkey legate al dispositivo e presenti su desktop, ad esempio su piattaforme Windows, non sono idonee per la CDA basata su codice QR.
• Dipendenza dal Bluetooth: Fare affidamento sul Bluetooth può talvolta essere uno svantaggio a causa di potenziali problemi di connettività o impostazioni del dispositivo che potrebbero interferire con il controllo di prossimità Bluetooth. Sebbene stabilire la prossimità possa migliorare la sicurezza, potrebbe anche causare problemi di usabilità se i dispositivi non riescono a connettersi tramite Bluetooth. Tuttavia, una volta che i dispositivi sono stati accoppiati con successo, le connessioni successive diventano tipicamente più semplici.

Discuss passkeys news and questions in r/passkey.

Join Subreddit

• Nessun attacco di phishing remoto: L'uso del Bluetooth per i controlli di prossimità garantisce che entrambi i dispositivi siano fisicamente vicini l'uno all'altro durante il processo di autenticazione, riducendo il rischio di attacchi di phishing da postazioni remote.
• Le passkey sincronizzate offrono una UX migliore: La sincronizzazione delle passkey tra i dispositivi offre anche un'esperienza utente fluida, poiché gli utenti non devono gestire più set di credenziali.

Quando si implementa l'autenticazione cross-device (CDA) basata su passkey, è fondamentale fornire agli utenti una guida chiara sul processo. Gli utenti dovrebbero essere informati che verrà visualizzato un codice QR e che dovranno usare il loro telefono cellulare per scansionarlo.

A nostro avviso, è importante assicurarsi che i codici QR non vengano mostrati se l'utente non dispone di una passkey utilizzabile per la CDA. Inoltre, è necessario verificare che il sistema operativo e il browser attuali dell'utente supportino la CDA prima di visualizzare un codice QR.

Want to find out how many people use passkeys?

View Adoption Data

Per gestire questi scenari in modo efficace, abbiamo delineato tutti i casi critici in questo articolo, quindi non entreremo nei dettagli qui. Il nostro sistema di intelligence per passkey è progettato per gestire automaticamente queste situazioni, garantendo che i codici QR vengano visualizzati solo quando appropriato e guidando gli utenti senza problemi attraverso il processo di autenticazione. Ciò garantisce un'esperienza fluida mantenendo un'elevata sicurezza e compatibilità tra vari dispositivi e sistemi operativi.

In questa sezione, riassumeremo i due principali metodi di login basati su codice QR discussi in questo articolo: login con codice QR tramite app native e login con codice QR tramite passkey. Ogni metodo offre vantaggi unici ed è adatto a diversi casi d'uso in base a fattori come sicurezza, esperienza utente e complessità di implementazione.

• Login con codice QR tramite app native sfrutta il deep linking per collegare un codice QR a un'app specifica installata su un dispositivo mobile. Quando un utente scansiona il codice QR, l'app associata viene attivata, facilitando un processo di login fluido e sicuro. Questo metodo è comunemente usato in applicazioni app-first come WhatsApp, TikTok e Revolut, dove gli utenti hanno familiarità con l'ambiente dell'app e possono autenticarsi facilmente senza dover inserire una password.
• Login con codice QR tramite passkey utilizza un approccio di autenticazione cross-device più avanzato che si integra direttamente con gli authenticator di piattaforma del sistema operativo (non è necessario installare alcuna app nativa). Questo metodo è progettato per fornire un alto livello di sicurezza, utilizzando passkey sincronizzate e richiedendo che entrambi i dispositivi siano in stretta prossimità (verificata tramite Bluetooth) durante il processo di autenticazione. Questo metodo offre una forte protezione contro gli attacchi di phishing e fornisce un'esperienza utente semplificata su più dispositivi.

Vediamo come si confrontano i due metodi e quali sono le loro diverse caratteristiche:

Tabella di confronto: Login con codice QR tramite app native vs. Login con codice QR tramite passkey

Nella tabella di confronto ci siamo concentrati sulle caratteristiche basate sull'autenticazione e i requisiti circostanti delineati nella sezione tre si applicano a entrambe le alternative. Le restrizioni basate sulla posizione e sul tempo non sono necessarie con le passkey, poiché impiegano la resistenza al phishing e i controlli di prossimità tramite WebAuthn.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Come delineato nell'introduzione, abbiamo esaminato i due scenari più comuni di autenticazione cross-device, riassumiamoli brevemente:

• Il login con codice QR tramite app native è ideale per le aziende con una solida base di utenti sulle loro app native, che non stanno ancora considerando di implementare le passkey e non sono troppo preoccupate per gli attacchi di phishing. Questo metodo offre comodità e sicurezza utilizzando i meccanismi di autenticazione esistenti dell'app, riducendo l'attrito per gli utenti che la usano frequentemente, ma non aiuta con i login poco frequenti.
• Il login con codice QR tramite passkey offre un'opzione più sicura e flessibile, specialmente per ambienti in cui è necessaria l'autenticazione cross-device e le passkey sono già in fase di valutazione o utilizzate come fattore di autenticazione. Sfruttando l'autenticazione a livello di piattaforma e i controlli di prossimità basati su Bluetooth, questo metodo porta l'unico metodo di autenticazione a più fattori resistente al phishing a prova di futuro anche ai casi cross-device.

Per rispondere alle nostre domande dell'introduzione:

• In cosa differiscono i due approcci: Ogni organizzazione dovrebbe scegliere il metodo che meglio si adatta alle proprie esigenze, considerando fattori come la base di utenti, i requisiti di sicurezza e l'esperienza utente desiderata. Per i servizi incentrati sulle app, l'integrazione del login con codice QR tramite app native potrebbe essere sufficiente. Tuttavia, per coloro che danno la priorità alla massima sicurezza e alle capacità cross-device, il login con codice QR tramite passkey rappresenta una soluzione solida.

Indipendentemente dalla valutazione attuale di quale soluzione si adatti all'architettura di autenticazione esistente, va tenuto presente che le passkey sono un investimento nel futuro dell'autenticazione, poiché l'ecosistema si sta chiaramente muovendo in questa direzione. Iniziare presto a raccogliere le passkey può essere combinato con diverse strategie di CDA.