Google ha recentemente annunciato una nuova funzionalità denominata Passkey per gli account Google personali, che dovrebbe rendere più semplice e sicuro l’accesso al proprio account rispetto alle password. Ironia della sorte, la nuova funzionalità destinata a sostituire le password è stata rilasciata in occasione del World Password Day.
Perché dobbiamo sostituire le password?
Certo, le password erano un ottimo modo per proteggere gli account quando sono state introdotte per la prima volta, ma non sono più abbastanza sicure. Sono scomodi da usare e sono vulnerabili agli attacchi di phishing e alle fughe di dati. E scaricano molte responsabilità sulle spalle degli utenti, cosa che, a dire il vero, la maggior parte delle persone fallisce.
Anche se non sei una di queste persone e creare password complesse è uno dei tuoi superpoteri, rimarrai sbalordito nel sapere quanti utenti spesso non sono in grado di creare password complesse. Password come 123456 o password sono ancora le password più popolari in tutto il mondo.
E poi ci sono quelli che finiscono per creare una password complessa ma poi pensano che il loro lavoro sia finito e riutilizzano la password su più siti. Anche se sei una razza rara che utilizza password complesse e non le riutilizza mai, sono comunque vulnerabili agli attacchi di phishing, alle fughe di dati e ai più noti attacchi di”scambio SIM”che rendono persino inutile l’autenticazione 2SV (2FA/MFA).
Le passkey sono un’alternativa migliore perché trascendono questi problemi affrontati dalle password.
Che cos’è una passkey?
Le passkey sono un nuovo tipo di autenticazione senza password che utilizza i tuoi dati biometrici, come un’impronta digitale, la scansione del volto o il blocco dello schermo del dispositivo, come un PIN, per verifica la tua identità. Ciò significa che non devi ricordare alcuna password e hai meno probabilità di cadere vittima di attacchi di phishing poiché non puoi rivelare accidentalmente la tua password a un’entità dannosa.
Sono anche più sicure e convenienti delle password. Poiché sono memorizzati sul tuo dispositivo, non sono vulnerabili alle fughe di dati. Sono anche più facili da usare rispetto alle password in quanto puoi accedere con un solo tocco o scansionare invece di dover digitare password lunghe ogni volta.
Le passkey sono anche univoche per il sito web o l’app a cui stai accedendo, quindi non c’è il rischio di riutilizzarle.
Per gli utenti tecnici che vogliono dare un’occhiata al segreto, ecco un piccola spiegazione:
Le passkey si basano sullo standard WebAuthentication (o”WebAuthn”), che utilizza la crittografia a chiave pubblica. La crittografia a chiave pubblica utilizza due chiavi: una chiave pubblica, che è memorizzata sul server ed è visibile a tutti, e una chiave privata, che è una chiave segreta che nessuno conoscerà per crittografare i dati. La chiave privata è memorizzata sul tuo dispositivo e, nella maggior parte dei casi, non la lascia mai. In ogni caso, non viene mai condiviso con il server.
Come funzionano le passkey di Google?
Quando crei una passkey per il tuo account Google, viene creata una chiave privata che viene memorizzata sul tuo dispositivo. Viene inoltre creata una chiave pubblica corrispondente, che viene caricata sul server di Google.
Quando desideri accedere al tuo account Google, il tuo dispositivo deve firmare una sfida univoca con la chiave privata dopo la tua approvazione. Google verificherà quindi la firma utilizzando la chiave pubblica memorizzata sul proprio server e, se corrispondono, verrà effettuato l’accesso. Nessuna delle informazioni condivise con Google, ad esempio la firma e la chiave pubblica, conterrà alcuna informazione personale su la tua biometria.
Il dispositivo che utilizzi per le passkey assicurerà inoltre che la firma sia condivisa solo con i siti Web e le app di Google e non con siti Web di phishing dannosi. Pertanto, non devi essere così vigile quando usi le passkey come con altre forme di autenticazione.
Google ha sviluppato passkey con altri attori dell’alleanza FIDO; questo rende Passkeys compatibile con più dispositivi e sistemi operativi.
Anche Google Passkeys supporta vari dispositivi, sistemi operativi e browser. Se sei iscritto al programma di protezione avanzata, le passkey possono essere utilizzate anche al posto delle chiavi di sicurezza. Questi includono:
Laptop o desktop Windows con Windows 10 o versioni successiveDispositivi Mac con almeno macOS VenturaiPhone con almeno iOS 16 Dispositivi Android con Android 9 o versioni successiveChiave di sicurezza hardware (USB) che supporta il protocollo FIDO2
Avrai anche è necessario uno di questi browser sul dispositivo per utilizzare le passkey:
Browser Chrome 109 o upSafari browser 16 o upEdge browser 109 o versioni successive
Il tuo dispositivo deve inoltre avere le seguenti abilitazioni per poter utilizzare le passkey:
Blocco schermoBluetooth (se desideri utilizzare una passkey sul tuo telefono per accedere al tuo account Google su un altro computer).
💡
Le passkey sono attualmente disponibili solo per il tuo account Google personale e non per gli account scolastici o di lavoro.
Le passkey potrebbero essere disponibili anche su altri dispositivi. Ad esempio, se crei una passkey sul tuo iPhone, verrà sincronizzata con il portachiavi iCloud e, quindi, sarà disponibile sul tuo Mac utilizzando lo stesso ID Apple. Allo stesso modo, se utilizzi un gestore di password, come Google Password Manager, per sincronizzare la tua passkey, può essere disponibile anche su altri dispositivi. I gestori di password utilizzano la crittografia end-to-end sulle passkey prima di sincronizzarle in modo da poter essere certi che siano ancora sicure.
Come creare una passkey
Puoi utilizzare uno qualsiasi dei dispositivi supportati per creare una passkey. Per il bene di questa guida, mostreremo il processo utilizzando un iPhone sul browser Safari, ma il processo sarà lo stesso anche su altri dispositivi.
💡
L’unica cosa che dovresti ricordare è che devi possedere il dispositivo. Le passkey sono disponibili su un dispositivo anche dopo che sei uscito dal tuo Account Google. Quindi, se qualcun altro ha accesso al dispositivo, ovvero può sbloccarlo, può accedere al tuo account Google utilizzando la passkey che hai creato.
Per creare una passkey, vai su g.co/passkeys. Dovrai verificare che sei tu che stai cercando di creare una passkey accedendo al tuo account.
Successivamente, tocca l’opzione”Crea una passkey”.
Un pop-up apparire; tocca”Continua”.
Un altro popup di conferma apparirà dal portachiavi iCloud chiedendoti se desideri salvare una passkey per il tuo account Google. Tocca di nuovo”Continua”. Quindi, verifica la tua identità utilizzando l’impronta digitale, FaceID o il blocco schermo.
E il gioco è fatto. Verrà creata una passkey. Tocca”Fine”per chiudere il pop-up.
Utilizzo della passkey per l’accesso
Ora, la prossima volta che vorrai accedere a Google o a qualsiasi servizio associato, potrai accedere con la tua passkey.
Ad esempio, supponiamo che tu stia effettuando l’accesso a google.com. Tocca”Accedi”e inserisci i dettagli del tuo account.
Poi, sulla’Utilizza la schermata della tua passkey, tocca”Continua”.
Un popup di sicurezza dal portachiavi iCloud apparirà; tocca di nuovo”Continua”. Quindi, conferma la tua identità utilizzando i tuoi dati biometrici o il passcode del dispositivo.
Utilizzo della passkey per accedere su un altro computer
Se desideri accedere al tuo account Google su un altro computer, puoi fallo usando la passkey che hai appena creato sul tuo cellulare. Il tuo telefono deve essere vicino al tuo computer poiché viene utilizzato un piccolo messaggio Bluetooth anonimo per verificare che i tuoi dispositivi siano vicini l’uno all’altro.
Prendiamo di nuovo l’esempio di google.com. Fai clic sul pulsante”Accedi”e inserisci i dettagli del tuo account. Quindi, fai clic su’Continua’nella schermata’Usa la tua passkey..’.
Successivamente, scegli il dispositivo che ha la passkey. Qui abbiamo selezionato”Usa un telefono o un tablet”.
Apparirà un codice QR sul tuo schermo. Apri la fotocamera del telefono e scansionalo. Tocca l’opzione”Accedi con una passkey”. Quindi, conferma la tua identità utilizzando la biometria.
Se si tratta di un dispositivo di tua proprietà, puoi creare una nuova passkey su di essa per velocizzare il processo di accesso. Vai su g.co/passkeys sul browser del tuo computer e ripeti gli stessi passaggi descritti sopra. Il tuo account mostrerà anche le passkey che hai già su altri dispositivi.
Le passkey sono la nuova sicurezza direzione in cui ci stiamo muovendo. Crea una passkey per il tuo account Google e proteggiti da tutti i tipi di minacce che affliggono le password.