Chiavi di sicurezza

Le chiavi di sicurezza sono credenziali di accesso protette crittograficamente. AGOV consente esclusivamente chiavi con un vincolo hardware non estraibile. La registrazione di una chiave di sicurezza per l’apertura di un conto AGOV non è necessaria. La memorizzazione avviene su un dispositivo aggiuntivo (ad es. una chiave USB FIDO2) oppure sotto forma di cosiddetti passkey vincolati all'hardware, memorizzati sul chip di sicurezza del dispositivo finale. Tali chiavi di sicurezza possono essere utilizzate per l'accesso sicuro alle applicazioni web tramite lo standard WebAuthn.

Informazioni generali

Cosa significa FIDO e dove vengono utilizzate le chiavi di sicurezza FIDO? ▼
×

L’acronimo FIDO sta per Fast IDentity Online. È un insieme di standard e protocolli aperti e privi di licenza della FIDO Alliance per un’autenticazione su Internet sicura e più orientata all’utente. Esistono diverse implementazioni di FIDO, ad esempio FIDO U2F (Universal Second Factor) e FIDO2, molto diffusi sulle piattaforme e nei browser moderni. Seguendo i protocolli, è possibile effettuare un’autenticazione a due fattori senza password e resistente al phishing basata sulla crittografia a chiave pubblica.

Perché si promuove l’utilizzo delle chiavi di sicurezza (FIDO2)? ▼
×

Se si deve o si desidera lavorare con AGOV senza smartphone, le chiavi di sicurezza sono l’alternativa all’app AGOV access. Lo stesso vale per chi possiede uno smartphone che non supporta l’app (sistema operativo non compatibile, telefono troppo vecchio, hardware senza elementi di sicurezza, modifiche non approvate dal produttore come rooting o jailbreak).

AGOV utilizza le chiavi di sicurezza come autenticazione a due fattori particolarmente sicura. La chiave fisica è il primo fattore, mentre il secondo è rappresentato dal PIN o dal controllo dei dati biometrici. Raccomandiamo inoltre a tutti gli utenti dell’app AGOV access di collegare una chiave di sicurezza al proprio account AGOV. È possibile farlo su . In questo modo l’accesso ad AGOV è garantito anche in caso di smarrimento del codice di ripristino, di danneggiamento o furto dello smartphone, oppure se il nuovo smartphone non è stato registrato correttamente (l’app non può essere semplicemente trasferita. A questo proposito: Consigli per gli utenti di AGOV). Anche se si possiede ancora il codice di ripristino, i fattori di accesso aggiuntivi come le chiavi di sicurezza sono sempre utili, perché se si utilizza il codice è necessario ripetere la procedura di verifica dell’identità in AGOV.

Perché AGOV supporta solo chiavi di sicurezza FIDO2 con certificazione di livello 2 o superiore? ▼
×

AGOV impone requisiti rigorosi per la sicurezza dell’autenticazione – in particolare per l’accesso ai servizi online delle autorità che richiedono un elevato livello di protezione. Per le autenticazioni con livello di fiducia «elevato» (Level of Assurance 3, LOA3), si applicano requisiti vincolanti secondo la direttiva TIC Si001 – Protezione di base delle TIC nell’Amministrazione federale.
  • Cosa significa FIDO2 Livello 2 (L2) e perché è un requisito?
    FIDO2 Livello 2 (L2) è un livello di sicurezza certificato che impone requisiti aggiuntivi per la protezione dei dati di autenticazione sensibili. A differenza del livello 1, le chiavi di sicurezza conformi al livello 2 devono disporre di un elemento di sicurezza dedicato (Secure Element). Questo protegge il materiale crittografico da attacchi fisici e software – anche nel caso in cui il dispositivo finale sia compromesso.
    Solo con questa protezione dimostrabilmente robusta un autenticatore soddisfa le condizioni per l’utilizzo nell’ambito dell’Amministrazione federale per un livello di fiducia «elevato» (LOA3).
  • Perché una chiave FIDO2 di livello 1 non è sufficiente?
    FIDO2 Livello 1 consente anche autenticatori puramente software o dispositivi senza una protezione hardware specifica. Questi offrono una protezione di base, ma non garantita contro attacchi nello stesso contesto di sistema (ad esempio su un sistema operativo compromesso). Secondo le direttive TIC, AGOV richiede esplicitamente una protezione hardware certificata, come quella fornita dal livello 2 FIDO2 o superiore.
  • Cosa vale per le chiavi di sicurezza open source senza certificazione?
    Chiavi di sicurezza come la Nitrokey 3A mini possono soddisfare standard di sicurezza elevati dal punto di vista tecnico, ma senza una certificazione formale manca la prova ufficiale necessaria. Per AGOV, la certificazione FIDO è un prerequisito, poiché documenta il rispetto dei requisiti di sicurezza in modo verificabile e uniforme. Non certificato non significa automaticamente insicuro - ma non certificato significa: non valutato secondo i criteri vincolanti di AGOV.
Zusammenfassung

Criterio FIDO2 Livello 1 FIDO2 Livello 2 (richiesto da AGOV)
Protezione dei dati di autenticazione opzionale / basata su software Basata su hardware
(Secure Element)
Certificazione secondo FIDO2 sì, livello base sì, con profilo di
protezione avanzato
Approvato per l’uso in AGOV no si

Perché i passkey sincronizzabili non funzionano con AGOV? ▼
×

I passkey sono un metodo moderno e sicuro per l’autenticazione senza password, in cui una chiave crittografica viene memorizzata sul dispositivo dell’utente.

Tuttavia, per motivi di sicurezza e conformità normativa, AGOV consente esclusivamente chiavi crittografiche memorizzate localmente in un chip di sicurezza* - ad esempio su una chiave di sicurezza FIDO2 o direttamente sul dispositivo.

I passkey sincronizzati su più dispositivi tramite servizi cloud come iCloud o Google sono considerati meno affidabili, poiché potenzialmente esportabili. Per garantire in ogni momento l’origine e l’integrità delle chiavi, AGOV accetta solo chiavi legate all’hardware, che non possono essere trasferite, esportate o sincronizzate. L'app AGOV access e l'app swiyu per l'e-ID svizzera soddisfano già pienamente questi requisiti.

* Con «chip di sicurezza» si intendono unità di archiviazione dedicate e non esportabili per le chiavi, come i Trusted Platform Module (TPM), la Secure Enclave di Apple, il Titan M di Google o i moduli di sicurezza presenti nelle chiavi di sicurezza FIDO2.

Dove posso ottenere una chiave di sicurezza e a quale prezzo? ▼
×

Le chiavi di sicurezza (FIDO2) vengono acquistate direttamente dall’utente finale nei negozi di elettronica. Il prezzo può variare dai 20 ai 120 franchi a seconda del produttore e del modello (tipo di collegamento, PIN, modello biometrico).

Perché la mia chiave di sicurezza (FIDO2) non funziona sempre su Mac? ▼
×

Apple supporta gli standard FIDO2/WebAuthn solo nella misura in cui si adattano al proprio ecosistema.

Nella pratica, ciò comporta incompatibilità o limitazioni, soprattutto con hardware o browser di terze parti. Formalmente, Apple rispetta gli standard - ma non con la stessa apertura o profondità di Microsoft o Linux.

Raccomandazioni per l’uso quotidiano, incluso AGOV:
Per accedere con una chiave di sicurezza FIDO2 su computer macOS su agov.ch, si consiglia di utilizzare Google Chrome (o Microsoft Edge) su Mac. Questi browser supportano in modo più affidabile la tecnologia FIDO2/WebAuthn, in particolare in combinazione con chiavi di sicurezza USB o Touch ID. Firefox non è consigliato poiché potrebbero verificarsi limitazioni o malfunzionamenti durante l'utilizzo di FIDO2 su macOS. Anche Safari offre un supporto limitato.

Si prega quindi di utilizzare Chrome per la registrazione e l'accesso con FIDO2 su agov.ch.

Elenco delle chiavi di sicurezza (security key / token FIDO) utilizzabili in AGOV

Lista delle chiavi di sicurezza compatibili che possono essere utilizzate in AGOV. ▼
×

Tutte le chiavi di sicurezza FIDO2 che soddisfano i seguenti criteri di filtro sono compatibili con AGOV:
  • Protocol = fido2
  • Certification = FIDO_CERTIFIED_L2
  • Key Protection = hardware
La seguente lista è disponibile solo in inglese e i criteri di filtro sopra menzionati devono essere impostati da te.

➪ FIDO MDS Explorer (opotonniee.github.io)

Disclaimer:
Le chiavi di sicurezza FIDO2 elencate dovrebbero essere compatibili con AGOV ma non sono state testate. Non è possibile garantire il corretto funzionamento di chiavi di sicurezza compatibili con FIDO2 non testate.


Di seguito trovate un elenco delle chiavi di sicurezza FIDO2 che sono state testate con successo con AGOV fino ad ora.



Token2 T2F2-NFC-Slim
Token2 T2F2-NFC-Slim

Token2 T2F2-NFC-Slim

DESCRIZIONE DEL PRODOTTO: Token2 T2F2-PIN+ NFC-Slim
PROTEZIONE: Pulsante a sfioramento integrato con PIN
POSSIBILITÀ DI CONNESSIONE: NFC, USB-A / USB Typ-C
PREIS: CHF ca. 21.00
SUPPORTO: FIDO2/WebAuthn, U2F e TOTP/HOTP

Per trovare le fonti di approvvigionamento, inserire quanto segue nel motore di ricerca internet di vostra scelta: «Token2 T2F2-NFC-Slim»



Token2 T2F2-Bio2
Token2 T2F2-Bio2

Token2 T2F2-Bio2

DESCRIZIONE DEL PRODOTTO: Token2 T2F2-Bio2
PROTEZIONE: Lettore di impronte digitali con PIN
POSSIBILITÀ DI CONNESSIONE: USB-A / USB-C
PREZZO: CHF 36.00
SUPPORTO: FIDO2/WebAuthn, U2F e TOTP (con app companion)

Per trovare le fonti di approvvigionamento, inserire quanto segue nel motore di ricerca
internet di vostra scelta: «Token2 T2F2-Bio2»



Identiv uTrust FIDO2 NFC
Identiv uTrust FIDO2 NFC

Identiv uTrust FIDO2 NFC

DESCRIZIONE DEL PRODOTTO: Identiv uTrust FIDO2 NFC
PROTEZIONE: Pulsante a sfioramento integrato con PIN
POSSIBILITÀ DI CONNESSIONE: NFC / USB-A / USB-C
PREZZO: CHF 36.00
SUPPORTO: FIDO2/WebAuthn, U2F e TOTP/HOTP

Per trovare le fonti di approvvigionamento, inserire quanto segue nel motore di ricerca
internet di vostra scelta: «Identiv uTrust FIDO2 NFC»



Swissbit iShield Key (FIDO2 / Pro)
Swissbit iShield Key (FIDO2 / Pro)

Swissbit iShield Key (FIDO2 / Pro)

DESCRIZIONE DEL PRODOTTO: Swissbit iShield Key (FIDO2 / Pro)
PROTEZIONE: Pulsante a sfioramento integrato con PIN
POSSIBILITÀ DI CONNESSIONE: NFC / USB-A / USB-C
PREZZO: CHF 52.00 - 85.00
SUPPORTO: FIDO2/WebAuthn, U2F, TOTP/HOTP e PIV (Pro Version)

Per trovare le fonti di approvvigionamento, inserire quanto segue nel motore di ricerca
internet di vostra scelta: «Swissbit iShield Key»



YubiKey Security Key Series
YubiKey Security Key Series

YubiKey Security Key Series

DESCRIZIONE DEL PRODOTTO: YubiKey Security Key Series
PROTEZIONE: Pulsante a sfioramento integrato con PIN
POSSIBILITÀ DI CONNESSIONE: NFC / USB-A / USB-C
PREZZO: CHF 35.00 - 65.00
SUPPORTO: FIDO2/WebAuthn e U2F

Per trovare le fonti di approvvigionamento, inserire quanto segue nel motore di ricerca
internet di vostra scelta: «YubiKey Security Key Series»



YubiKey Bio Serie
YubiKey Bio Serie

YubiKey Bio Serie

DESCRIZIONE DEL PRODOTTO: YubiKey Bio Serie
PROTEZIONE: Lettore di impronte digitali con PIN
POSSIBILITÀ DI CONNESSIONE: USB-A / USB-C
PREZZO: CHF 100.00 - 120.00
SUPPORTO: FIDO2/WebAuthn e U2F

Per trovare le fonti di approvvigionamento, inserire quanto segue nel motore di ricerca
internet di vostra scelta: «YubiKey Bio Serie»



Cryptnox FIDO2 Card
Cryptnox FIDO2 Card

FIDO2 Smartcard

DESCRIZIONE DEL PRODOTTO: Cryptnox FIDO2 Card
PROTEZIONE: PIN
POSSIBILITÀ DI CONNESSIONE: Lettore di smartcard e NFC
PREZZO: CHF ca. 40.00
SUPPORTO: FIDO2/WebAuthn, U2F e RFID Mifare Desfire EV2 4K

Per trovare le fonti di approvvigionamento, inserire quanto segue nel motore di ricerca
internet di vostra scelta: «Cryptnox FIDO2 Card». Cryptnox offre un'app FIDO2 Card Manager per iPhone.



Importante:
Se non si dispone più di un fattore di accesso per il proprio login AGOV, ad esempio in caso di smarrimento o danneggiamento, l’utente perde tutti i propri accessi su AGOV e deve seguire un oneroso processo di ripristino in AGOV. È possibile evitare questa situazione registrando nel proprio account AGOV uno o più dispositivi mobili aggiuntivi con l’app «AGOV access» o un’altra chiave di sicurezza (FIDO2).