Vincent
Created: June 20, 2025
Updated: July 8, 2025
See the original faq version in English here.
Le passkey vengono generate utilizzando la crittografia asimmetrica, dove viene creata una coppia di chiavi crittografiche: una chiave pubblica e una chiave privata. La chiave privata rimane archiviata in modo sicuro sul dispositivo dell'utente, mentre la chiave pubblica viene condivisa con il server. Quando un utente si registra o effettua l'accesso, il suo dispositivo crea questa coppia di chiavi, che viene poi utilizzata per autenticare la sua identità in modo sicuro senza mai esporre la chiave privata.
Le passkey si basano sulla crittografia asimmetrica, un metodo che utilizza due chiavi distinte ma matematicamente collegate: una chiave pubblica e una chiave privata. Ecco uno sguardo più da vicino al processo:
Generazione della coppia di chiavi: Quando un utente avvia la creazione di una passkey, il suo dispositivo genera una coppia di chiavi crittografiche. La chiave privata viene archiviata in modo sicuro sul dispositivo dell'utente (ad esempio, all'interno di una secure enclave su uno smartphone), e la chiave pubblica viene inviata al server dove viene archiviata.
Processo di registrazione: Durante la registrazione iniziale a un servizio, il dispositivo dell'utente crea la coppia di chiavi. La chiave privata non viene mai condivisa e rimane protetta sul dispositivo. La chiave pubblica, invece, viene trasmessa al server e archiviata insieme all'account dell'utente.
Processo di autenticazione: Quando l'utente tenta di accedere, il server invia una sfida (challenge) al dispositivo dell'utente. Il dispositivo utilizza la chiave privata per firmare questa sfida. Il server verifica quindi questa firma utilizzando la chiave pubblica corrispondente, autenticando così l'utente senza mai esporre la sua chiave privata.
L'infrastruttura a chiave pubblica (PKI) è fondamentale per la sicurezza delle passkey. La PKI gestisce le chiavi pubbliche e i certificati digitali che le autenticano. La PKI garantisce che la comunicazione tra il dispositivo dell'utente e il server sia sicura, prevenendo attacchi man-in-the-middle durante il processo di autenticazione.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.