La tecnologia dei passkey permette di eliminare le 12 o 24 parole di backup dai wallet Bitcoin non-custodial.
L’azienda Breez ha integrato il Passkey Login nel suo SDK. Tale funzionalità permette agli sviluppatori di creare wallet non-custodial che utilizzano l’autenticazione biometrica al posto della tradizionale seed phrase da 12 o 24 parole.
La tecnologia non elimina completamente il supporto alle seed phrase – queste rimangono disponibili per gli utenti che le preferiscono, garantendo retrocompatibilità con gli standard del settore – ma rimuove quella che Breez definisce “la barriera d’ingresso” che scoraggia gli utenti meno esperti dall’adottare la self-custody.
L’azienda aggiunge che il Passkey Login non elimina i compromessi della self-custody, ma li riconduce a qualcosa che gli utenti già conoscono e utilizzano quotidianamente: la stessa autenticazione biometrica che protegge le loro app bancarie e i gestori di password.
Il funzionamento
I passkey rappresentano uno standard di sicurezza relativamente recente che sta guadagnando ampia adozione online. Si basano sullo standard crittografico FIDO2 WebAuthn, promosso congiuntamente da Apple, Google, Microsoft e la FIDO Alliance dal 2022.
Ogni passkey consiste in una coppia unica di chiavi pubblico-private generata per un sito web o un’applicazione specifica. La chiave privata rimane archiviata nell’elemento sicuro dell’hardware del dispositivo dell’utente – come il Secure Enclave di Apple, il chip Titan di Android, il TPM di Windows, chiavi di sicurezza esterne come YubiKey o nel gestore password dell’utente.
Il funzionamento richiama concettualmente il file wallet.dat originale introdotto da Satoshi Nakamoto nelle prime versioni del client Bitcoin, dove le chiavi private erano archiviate localmente sul dispositivo dell’utente mentre le chiavi pubbliche venivano condivise con terze parti. Tuttavia, lo standard FIDO2 implementa tale concetto di chiave privata-pubblica in modo più standardizzato e moderno.
I siti web inviano una “challenge” all’utente, facendo riferimento alla chiave pubblica nota per quell’account. Il messaggio viene firmato dalla chiave privata dell’utente, autenticando la sua identità in modo privacy-preserving. Ogni servizio riceve una chiave pubblica diversa per lo stesso utente, quindi i dati compromessi su un sito non possono essere utilizzati per accedere ad altri siti, né contengono dati identificativi dell’utente.
La soluzione di Breez
Secondo Breez, i passkey standard eccellono nell’autenticazione ma mancavano di funzionalità chiave necessarie per l’industria Bitcoin.
La self-custody si basa tipicamente su una singola fonte di entropia per generare tutti gli indirizzi e le chiavi in modo deterministico, tramite standard come BIP-39. Gli utenti si aspettano che quelle 12 o 24 parole siano sufficienti per recuperare tutti i saldi e gli account su un wallet. Lo standard Passkey doveva essere esteso per supportare questo caso d’uso.
Breez risolve tale problema utilizzando l’estensione Pseudo-Random Function (PRF) in WebAuthn Level 3. PRF consente a un passkey di produrre un output crittografico deterministico per qualsiasi input dato durante l’autenticazione.
Se un dispositivo viene smarrito, il recupero dipende dalla piattaforma utilizzata per archiviare il passkey. I passkey sincronizzati – tramite iCloud Keychain, Google Password Manager, ecc. – si ripristinano su un nuovo dispositivo dopo aver riottenuto l’accesso all’account associato.
Breez fornisce un percorso opzionale retrocompatibile: gli utenti possono esportare una normale frase mnemonica BIP-39 da 12 parole per il loro wallet, in modo da poter recuperare il proprio account in altri wallet, seguendo gli standard del settore.
