Data di pubblicazione: 9 settembre 2024
A giugno 2024, Google ha collaborato con la FIDO Alliance per organizzare un hackathon sulle passkey a Tokyo. L'obiettivo era offrire ai partecipanti un'esperienza pratica con lo sviluppo e la prototipazione delle passkey per prodotti reali, con il personale di Google e FIDO Alliance a disposizione per fornire indicazioni.
Durante l'hackathon, nove team hanno approfondito le passkey e la giuria ha selezionato i quattro progetti più innovativi e di maggiore impatto.
Vincitore assoluto: il team pkLock della SFC-RG della Keio University
Il team SFC-RG pkLock della Keio University è stato l'unico in questa competizione a vincere la sfida di combinare i dispositivi IoT con le passkey e ha persino portato una stampante 3D.
Il loro pkLock (pronunciato "pic-lock") mira a risolvere il problema comune della consegna delle chiavi per Airbnb e altri alloggi privati utilizzando l'autenticazione cross-device con passkey.
Il dispositivo creato è costituito da un display di codici QR installato all'esterno della porta e da un dispositivo di sblocco installato all'interno. Oltre al dispositivo, è presente un'applicazione web che gli utenti utilizzano per la prenotazione e lo sblocco. Gli ospiti possono aprire la porta passando la mano sotto il dispositivo di visualizzazione del codice QR davanti alla porta, leggendo il codice QR visualizzato con il cellulare ed eseguendo l'autenticazione con passkey (autenticazione cross-device).
Inoltre, ha prestato particolare attenzione alla progettazione di un dispositivo sofisticato che gli ospiti vorrebbero installare nelle loro strutture. Il loro approccio completo, che prende in considerazione anche la potenziale adozione diffusa di questi dispositivi, ha avuto un forte impatto sui giudici.
Durante la presentazione, hanno suscitato grande entusiasmo tra il pubblico sbloccando una porta in miniatura che avevano realizzato durante l'hackathon. Per questa dimostrazione, il dispositivo ha mostrato un codice QR contenente un URL con un token una tantum che indirizza gli utenti a una pagina di autenticazione. In futuro, è prevista l'implementazione di trasporti ibridi sul dispositivo per consentire lo sblocco diretto. Hanno vinto l'hackathon per il loro impegno pionieristico nell'esplorazione delle possibilità di utilizzo delle passkey sui dispositivi IoT.
Premio FIDO 1: SKKN (Università di Waseda)
SKKN è un gruppo di ricerca dell'Università di Waseda, specializzato in studi sulla privacy. Il team ha presentato un caso d'uso molto avanzato delle passkey, combinandole con tecnologie emergenti, ovvero le credenziali verificabili (VC) e la prova a conoscenza zero. Poiché le credenziali verificabili e la prova a conoscenza zero sono al centro dell'identità autodeterminata e dell'identità decentralizzata (SSI/DID), la loro presentazione ha attirato molta attenzione sia dai giudici dell'hackathon sia dagli altri partecipanti.
Le credenziali verificabili (VC) sono certificati digitali che attestano informazioni sull'utente come nome, appartenenza e indirizzo. Se il Titolare (wallet) che immagazzina e gestisce le VC è vulnerabile, le VC possono essere rubate da altri e altri possono rubare l'identità dell'utente presentando la VC. Oltre a consentire solo all'utente che dispone della credenziale FIDO di presentare la VC, è stato sviluppato un metodo che consente solo ai servizi di portafogli attendibili di gestire le VC.
La loro implementazione ha mostrato diversi vantaggi:
- Collegando e emettendo VC e credenziali FIDO, solo il proprietario di FIDO può utilizzare le VC.
- Possono essere utilizzati solo i portafogli considerati attendibili dall'emittente e dal verificatore.
- Con le passkey, è possibile eseguire il backup e il recupero di VC e portafogli e gli utenti possono recuperare i dati anche se perdono il dispositivo.
Premio FIDO 2: TOKYU ID (Tokyu)
Il team URBAN HACKS, noto anche come team TOKYU ID di Tokyu Corporation, ha ricevuto il premio FIDO per l'adozione innovativa delle passkey per TOKYU ID. Il Gruppo Tokyu è un grande conglomerato giapponese con un'ampia gamma di attività incentrate su trasporti e sviluppo urbano.
TOKYU ID è progettato per semplificare le interazioni quotidiane, ad esempio le corse in treno. Consapevole dell'importanza fondamentale dell'esperienza utente, il team ha implementato l'accesso con passkey a febbraio 2024 per risolvere potenziali problemi come la mancata partenza di un treno a causa di ritardi nell'autenticazione a due fattori nei servizi di vendita di biglietti digitali forniti da un'applicazione web.
Hanno partecipato a questo hackathon per convalidare la loro visione di TOKYU ID. Lo scenario ideale prevede che tutti gli utenti si registrino e accedano con le passkey, insieme a un recupero dell'account senza problemi. Per farlo, si sono concentrati su due implementazioni chiave durante l'hackathon: l'attivazione della registrazione delle passkey durante la procedura di registrazione iniziale dell'abbonamento e l'introduzione dell'accesso tramite social per il recupero dell'account. In modo unico, dopo il recupero tramite l'accesso social, gli utenti possono registrare solo una passkey, il che sottolinea l'impegno del team per un design incentrato sulle passkey. Inoltre, ha integrato FedCM per migliorare l'esperienza utente nelle procedure di collegamento degli account.
L'approccio incentrato sulle passkey del team di TOKYU ID ha dimostrato una profonda conoscenza delle esigenze degli utenti e dei requisiti del prodotto. Durante l'hackathon, hanno implementato con successo la loro soluzione e hanno tenuto una presentazione interessante, che li ha fatti vincere il premio FIDO. In particolare, hanno integrato l'accesso con Google senza utilizzare l'SDK GIS, ma solo JavaScript utilizzando FedCM.
Premio Google: team Nulab (Nulab)
Nulab è una società di software che fornisce servizi come Backlog, Cacoo e Nulab Pass. Offrono più soluzioni di autenticazione a due fattori (token di sicurezza, OTP via SMS, OTP via email, TOTP) e WebAuthn per i propri servizi. Nulab è stato uno dei primi ad adottare WebAuthn e supporta completamente le passkey da ottobre 2023.
Sono state implementate otto nuove funzionalità:
- Una scheda di passkey
- Contenuti introduttivi sulle passkey
- Premi per gli utenti che adottano le passkey
- Assistenza per un recupero dell'account senza problemi
- Pulsante Accedi con una passkey
- Verifica in due passaggi obbligatoria per gli utenti che adottano le passkey
- Rimozione delle password e promozione delle passkey in caso di fughe di credenziali
- Promuovere le passkey dopo la reimpostazione di una password
Durante l'hackathon hanno dimostrato l'assistenza per un recupero agevole dell'account: l'idea era di indurre l'utente a eseguire un'azione aggiuntiva quando aggiunge una passkey. Se la passkey aggiunta è legata al dispositivo, consiglia all'utente di aggiungerne un'altra da un gestore delle password diverso. Se la passkey aggiunta è sincronizzata, consiglia all'utente di rimuovere la password.
Ha anche implementato premi per gli utenti che adottano le passkey con l'evidenziazione dell'icona dell'account utente. Quando l'utente adotta una passkey associata al dispositivo, l'icona inizia a girare. Quando l'utente adotta una passkey sincronizzata, l'icona inizia a lampeggiare. Poiché si tratta di uno strumento aziendale, gli utenti sono motivati a distinguersi all'interno dell'azienda adottando le passkey.
I giudici sono rimasti colpiti dalle loro idee creative per migliorare l'implementazione delle passkey e, in particolare, per il modo in cui gli utenti possono recuperare il proprio account.
Progetti più interessanti
Tutti i team dell'hackathon avevano idee interessanti e di seguito puoi dare un'occhiata ai loro progetti:
- Nikkei ID (Nikkei): sono state implementate le passkey su OpenID Connect, riducendo le difficoltà degli utenti.
- Dentsu Soken: ha combinato le passkey con Accedi con Google per un onboarding degli utenti senza problemi.
- SST-Tech (Secure Sky Technology): è stata esplorata l'emulazione delle passkey per le valutazioni di sicurezza.
- Ajitei Nekomaru (Università Keio): ha introdotto l'autenticazione con passkey in un SGA open source.
- MyLIXIL (LIXIL): è stata completata l'implementazione delle passkey come metodo di autenticazione per MyLIXIL.
Per maggiori dettagli su ciascun progetto, consulta il report completo dell'hackathon di Tokyo sulle passkey.
Approfondimenti e futuro
Durante l'hackathon, i partecipanti hanno condiviso feedback e domande utili, evidenziando sia l'entusiasmo per le passkey sia le aree di miglioramento. Ecco alcuni dei concetti chiave emersi dall'hackathon:
- C'è un crescente interesse per la combinazione delle passkey con altre tecnologie, come le credenziali verificabili e le prove a conoscenza zero.
- L'esperienza utente rimane una priorità assoluta e i team si concentrano su come semplificare ulteriormente l'utilizzo e l'adozione delle passkey.
- L'hackathon ha evidenziato il potenziale delle passkey di estendersi oltre gli accessi tradizionali, in aree come l'IoT e l'identità digitale.
L'evento è stato un grande successo e ha dato vita a nuove idee e collaborazioni. Man mano che le passkey vengono adottate sempre più ampiamente, eventi come questo sono fondamentali per promuovere l'innovazione e risolvere le sfide.
È un momento entusiasmante per le passkey e l'hackathon di Tokyo è la prova che gli sviluppatori sono desiderosi di superare i limiti di ciò che è possibile.