Passkey di Finom: una rivoluzione per la sicurezza bancaria

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

Il settore bancario moderno richiede la massima sicurezza, ma anche soluzioni che semplifichino la vita dei clienti. Ecco perché Finom, una fintech pionieristica con sede ad Amsterdam, ha fatto un importante passo avanti introducendo le passkey come nuovo metodo di autenticazione principale per la sua web app. A testimonianza della sua spinta innovativa, l'implementazione delle passkey da parte di Finom non solo sfida il tradizionale paradigma delle password (e della MFA tradizionale tramite OTP via SMS), ma si allinea anche alla crescente domanda di esperienze utente più sicure, comode e attente alla privacy. Questo articolo analizza nel dettaglio le impostazioni tecniche e i vantaggi per l'utente finale dell'implementazione delle passkey di Finom, offrendo spunti sul perché questo approccio potrebbe inaugurare una nuova era per le passkey nel settore bancario e dei servizi finanziari.

Le passkey rappresentano un cambio di paradigma nell'autenticazione, abbandonando i vulnerabili sistemi basati su password per un'autenticazione più sicura e resistente al phishing. L'applicazione web di Finom adotta questa tecnologia, consentendo agli utenti di autenticarsi tramite vari dispositivi: computer, smartphone o chiavi di sicurezza hardware (ad esempio, le YubiKey), supportando così anche gli authenticator cross-platform e roaming.

Finom has introduced passkeys

Join them

Finom garantisce un'ampia accessibilità allineandosi agli standard di settore per la compatibilità con browser e sistemi operativi. Le seguenti versioni dei browser supportano le passkey (secondo le FAQ ufficiali sulle passkey di Finom):

• Chrome (v105+)
• Safari (v16+)
• Edge (v105+)

Contrariamente a quanto indicato nelle FAQ ufficiali sulle passkey di Finom, durante i nostri test l'autenticazione con passkey ha funzionato anche sull'ultima versione di Firefox (v122) su Windows 11 23H2 e macOS Sonoma 14.2.1.

Per quanto riguarda il supporto dei sistemi operativi in generale, per i dispositivi desktop abbiamo testato con successo l'autenticazione con passkey su Windows 11 e macOS Sonoma (nelle FAQ non è specificata una versione minima ufficiale del sistema operativo).

Gli utenti di dispositivi mobili devono assicurarsi che i loro sistemi siano aggiornati a iOS 16+ o Android 9+ per il pieno supporto delle passkey. La buona notizia è che la maggior parte dei dispositivi mobili (oltre il 94%) supporta già le passkey.

Il processo di creazione delle passkey in Finom supporta l'intera gamma di funzionalità delle passkey, impiegando diverse modalità di trasporto, tra cui USB, NFC, BLE, ibride e interne. Questa flessibilità garantisce agli utenti molteplici opzioni di autenticazione, adattandosi alle loro preferenze personali o alle esigenze del momento.

Ecco alcuni aspetti da evidenziare nelle impostazioni del server WebAuthn e un'analisi più approfondita delle PublicKeyCredentialCreationOptions:

{
    "attestation": "direct",
    "authenticatorSelection": {
        "residentKey": "discouraged",
        "userVerification": "required"
    },
    "challenge": "JWi0v7X1X-O1UvXB_I5q2A",
    "excludeCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        },
        {
            "alg": -37,
            "type": "public-key"
        },
        {
            "alg": -35,
            "type": "public-key"
        },
        {
            "alg": -258,
            "type": "public-key"
        },
        {
            "alg": -38,
            "type": "public-key"
        },
        {
            "alg": -36,
            "type": "public-key"
        },
        {
            "alg": -259,
            "type": "public-key"
        },
        {
            "alg": -39,
            "type": "public-key"
        },
        {
            "alg": -8,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "app.finom.co",
        "name": "app.finom.co"
    },
    "user": {
        "displayName": "Vincent Delitz",
        "id": "dmluY2RlbGl0aaBhb2wuY29t",
        "name": "vincent@corbado.com"
    }
}

• Uso del parametro excludeCredentials per evitare di creare una nuova passkey su un dispositivo che ne ha già una.
• Relying Party ID impostato su app.finom.co per garantire un'autenticazione sicura e specifica per il dominio.
• L'attestation di tipo direct richiede ai dispositivi di fornire dichiarazioni di attestazione, provando così l'autenticità delle credenziali di autenticazione.
• La userVerification è richiesta, garantendo così che solo l'utente legittimo possa avviare il processo di autenticazione.
• Le residentKey sono sconsigliate (discouraged), dato che la Conditional UI non è ancora stata implementata. Tuttavia, il comportamento della creazione di passkey dipende molto dagli authenticator e dalla loro capacità di tenere conto del valore delle residentKey. Inoltre, per Finom sarebbe vantaggioso creare già delle resident key in vista del futuro supporto della Conditional UI. D'altra parte, questa decisione consente di risparmiare spazio di archiviazione sulle chiavi di sicurezza hardware (ad esempio, le YubiKey), che spesso hanno una capacità limitata per le resident key.

Le PublicKeyCredentialRequestOptions sono altrettanto importanti, in quanto facilitano il processo di autenticazione con configurazioni che garantiscono flessibilità e sicurezza:

PublicKeyCredentialRequestOptions.json
{
    "allowCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "challenge": "s4R8Fsy7iSxxWIgUr7iTLA",
    "rpId": "app.finom.co",
    "userVerification": "discouraged"
}

• Le allowCredentials sono impostate (tutte le credenziali sono impostate indipendentemente dal dispositivo utilizzato come client dall'utente) per garantire che possano essere utilizzate solo le passkey registrate.
• La userVerification è sconsigliata (discouraged), il che è interessante nella procedura di login, dato che è richiesta nella procedura di creazione della passkey.

Un aspetto avveniristico dell'implementazione delle passkey di Finom è il potenziale per la condivisione di passkey tra dispositivi (cross-device). Analizzando i file di associazione forniti su https://app.finom.co/.well-known/assetlinks.json per Android e https://app.finom.co/.well-known/apple-app-site-association per iOS, diventa evidente che Finom sta gettando le basi per un'integrazione fluida delle passkey tra le sue applicazioni web e mobile native. L'aggiunta del supporto per la condivisione cross-device, ad esempio utilizzando la passkey di macOS dall'applicazione web anche nell'app nativa per iOS tramite la sincronizzazione con iCloud Keychain, può essere implementata rapidamente. Questa iniziativa promette di migliorare ulteriormente l'esperienza utente, consentendo un'autenticazione senza sforzo su diverse piattaforme e dispositivi.

Al centro dell'implementazione delle passkey di Finom c'è l'impegno a dare priorità a tre aspetti fondamentali: sicurezza senza pari, semplicità ineguagliabile e privacy dei dati senza compromessi.

• Sicurezza: Il sistema di passkey di Finom è progettato per creare una barriera contro le minacce informatiche. A differenza delle password tradizionali, le passkey sono collegate in modo sicuro al dispositivo dell'utente e al dominio verificato di Finom, eliminando virtualmente il rischio di phishing e di accessi fraudolenti.
• Semplicità: La semplicità dell'autenticazione con passkey di Finom si manifesta nel suo processo di login istantaneo. Utilizzando Face ID, Touch ID o Windows Hello, gli utenti possono accedere ai loro account in pochi secondi, senza il fastidio di digitare password complesse. Questo processo di autenticazione semplificato non solo migliora la comodità per l'utente, ma riduce anche significativamente i tempi di login, stabilendo un nuovo standard di facilità d'accesso nel settore bancario.
• Privacy dei dati: Finom attribuisce la massima priorità alla privacy e alla sicurezza dei dati degli utenti. Utilizzando un sistema in cui le passkey rimangono legate al dispositivo dell'utente, Finom garantisce che le informazioni personali, compresi i dati biometrici, restino sotto il controllo dell'utente e non vengano mai condivise con il server. Questo approccio non solo protegge la privacy degli utenti, ma dà loro anche la certezza che le loro informazioni personali e finanziarie siano salvaguardate da accessi non autorizzati e violazioni.

Sui nuovi dispositivi, l'utente deve confermare la creazione della passkey tramite l'app nativa di Finom per iOS/Android, attraverso una notifica push o utilizzando un magic link via email. Finché la conferma non viene fornita, l'utente non può creare una passkey.

Conferma la richiesta di creazione della passkey via email:

In alternativa, puoi confermare la richiesta di creazione della passkey tramite notifica push (qui, l'app nativa di Android):

Dopo aver creato la passkey con successo, vedrai questo popup:

Finom semplifica l'esperienza di login rendendo le passkey il metodo di autenticazione predefinito (approccio passkey-first) una volta che l'utente inserisce il proprio indirizzo email e clicca su Continua (il campo della password non viene mostrato di default). Questo approccio diretto migliora l'esperienza utente eliminando scelte non necessarie e de-prioritizzando le password. Tuttavia, l'assenza di una Conditional UI segna una potenziale area di miglioramento futuro.

Quando si annulla il flusso di login con passkey nel pop-up dedicato, l'utente riceve il seguente avviso:

Se l'utente decide di cliccare su Riprova, il flusso di login con passkey ricomincia e il pop-up delle passkey (ad esempio, Face ID, Touch ID, Windows Hello) riappare, consentendo all'utente di eseguire nuovamente la scansione biometrica.

Se l'utente decide di cliccare su Prova un altro modo, viene reindirizzato al vecchio login con i campi per l'indirizzo email e la password:

Finom sconsiglia vivamente l'uso di dispositivi non privati o accessibili al pubblico per l'autenticazione con passkey (ad esempio, nelle biblioteche pubbliche). Il rischio intrinseco di tali dispositivi risiede nella loro accessibilità: chiunque possa sbloccare il dispositivo (tramite password, blocco schermo o dati biometrici come impronte digitali o riconoscimento facciale registrati sul dispositivo) ha il potenziale per autenticarsi al posto tuo e accedere al tuo account.

Abbracciando la realtà multi-dispositivo degli utenti di oggi, Finom supporta l'autenticazione cross-device (trasporto ibrido) utilizzando la scansione di QR code e i controlli di prossimità Bluetooth. Questa funzione consente un'esperienza di autenticazione fluida tra diversi dispositivi, facilitando un accesso senza interruzioni da una passkey memorizzata su un dispositivo mobile mentre si tenta di accedere a Finom da un ambiente desktop.

Finom ha introdotto funzionalità intuitive di gestione delle passkey che consentono agli utenti di personalizzare e controllare i propri metodi di autenticazione. Queste funzionalità, inclusa la possibilità di rinominare e rimuovere le passkey, riflettono una profonda comprensione della necessità di flessibilità e sicurezza nella gestione degli accessi digitali.

• Passkey multiple per dispositivi diversi: Finom raccomanda la creazione di più passkey sui dispositivi degli utenti. Questo approccio garantisce un accesso ininterrotto ai servizi di Finom tramite passkey, offrendo un'esperienza multi-dispositivo senza soluzione di continuità.
• Prevenzione intelligente dei duplicati: Sfruttando il parametro excludeCredentials nelle PublicKeyCredentialCreationOptions, Finom impedisce la creazione di passkey duplicate sullo stesso dispositivo. Questa misura non solo migliora la sicurezza, ma ottimizza anche l'esperienza utente, garantendo che ogni dispositivo abbia una passkey unica.
• La conferma dell'eliminazione della passkey richiede l'autenticazione con passkey: Prima di rimuovere una passkey, gli utenti devono autenticare l'azione utilizzando una passkey. Questo ulteriore livello di sicurezza sottolinea l'importanza che Finom attribuisce alla protezione dell'accesso degli utenti e garantisce che solo il legittimo proprietario possa apportare modifiche così significative.

Da notare che la logica di rilevamento delle icone non è così intelligente come potrebbe sembrare a prima vista. Ho salvato le passkey per il Google Password Manager sul mio Android, ma viene visualizzato come Windows. Lo stesso vale per gli authenticator cross-platform/roaming come le YubiKey, che per natura non sono legati a un sistema operativo specifico.

Dopo la creazione di una passkey, l'utente riceverà una notifica via email:

Nel caso in cui l'utente debba reimpostare la propria password, non solo viene eliminato il collegamento del dispositivo dell'app nativa iOS/Android, ma vengono anche cancellate tutte le passkey. Per essere più precisi, le chiavi pubbliche delle passkey vengono eliminate lato server, rendendo impossibile un login con passkey (anche dopo aver ripristinato il collegamento del dispositivo). Le chiavi private della passkey rimangono sul dispositivo, ma sono inutili per i tentativi di login successivi.

L'implementazione delle passkey da parte di Finom non mira solo a migliorare la sicurezza e l'esperienza utente; è una mossa strategica per ridurre i costi legati ai tradizionali sistemi di OTP via SMS e per posizionarsi come una fintech moderna e digital-first, pronta a competere con le banche e le istituzioni finanziarie tradizionali. Il design attuale del sistema è promettente, con spazio per l'espansione al supporto delle app native, l'introduzione della Conditional UI e le conferme delle transazioni tramite passkey.

Allontanandosi dagli OTP via SMS – un metodo storicamente afflitto da lacune di sicurezza – Finom pone le basi per importanti vantaggi nella sua strategia di autenticazione e MFA. Questa transizione non solo mitiga i rischi associati agli OTP via SMS, ma si allinea anche con la missione di Finom di sfruttare tecnologie all'avanguardia per proteggere i dati degli utenti, migliorare l'esperienza utente nel settore bancario e risparmiare costi significativi per la MFA tramite OTP via SMS.

Durante i nostri test, abbiamo identificato alcune importanti aree di miglioramento:

• Estendere il supporto delle passkey alle app native: Riconoscendo l'onnipresenza del mobile banking, speriamo che Finom estenda presto il supporto delle passkey alle sue applicazioni native per iOS e Android, il che sarebbe anche in linea con la sua strategia mobile-first. Per un utente, specialmente provenendo da un dispositivo desktop macOS, il login sull'app iOS di un iPhone utilizzando lo stesso iCloud Keychain collegato può essere notevolmente semplificato rispetto all'esperienza di login attuale.
• Autenticazione solo con passkey: Con il tempo, ci aspettiamo anche che Finom promuova le passkey come primo e unico fattore di autenticazione sui dispositivi compatibili. Ciò include anche la creazione di nuovi account con le passkey come unica forma di autenticazione (con alcuni metodi di fallback come backup).
• Implementare la Conditional UI: L'introduzione della Conditional UI sarebbe un'altra importante ottimizzazione per l'esperienza utente, che ha già dimostrato di essere un grande successo per l'adozione delle passkey presso altri operatori.
• Usare le passkey per la conferma dei pagamenti: Durante i nostri test, abbiamo anche effettuato un pagamento di prova per verificare se la conferma del pagamento funzionasse anche con le passkey. Tuttavia, Finom utilizza ancora le notifiche push dell'app nativa e gli OTP via SMS per la conferma (quest'ultimo rappresenta un notevole fattore di costo). Questo potrebbe essere dovuto a scopi normativi, ma speriamo che in futuro le passkey possano essere impiegate anche in questo contesto.

Become part of our Passkeys Community for updates & support.

Join

Una domanda rimane ancora senza risposta nella strategia delle passkey di Finom: qual è la posizione di Finom sulla conformità alla PSD2 e alla SCA con le passkey? Questa questione non è stata generalmente affrontata in modo completo, ma sarebbe stato interessante conoscere meglio la prospettiva di Finom in merito. Per ulteriori approfondimenti e riflessioni sulla conformità delle passkey alla PSD2, si rimanda a questo articolo del blog.

L'introduzione delle passkey da parte di Finom rappresenta un ottimo esempio per il settore bancario e dei servizi finanziari, dimostrando come le fintech possano essere all'avanguardia nell'adozione di misure di sicurezza avanzate che soddisfano le esigenze degli utenti moderni. Fornendo un'analisi dettagliata del sistema di passkey di Finom, questo articolo mira ad aiutare altri sviluppatori software, product manager e specialisti della sicurezza a conoscere l'implementazione delle passkey nel settore finanziario e bancario.