Negli ultimi decenni, le password sono state il modo più comune per proteggere i tuoi account online. Sebbene negli ultimi anni siano entrate in gioco misure di autenticazione secondarie come le password monouso e l’autenticazione a due fattori, la tua password è ancora la tua prima linea di difesa contro le intrusioni.
Tuttavia, le password sono anche l’anello più debole di la tua catena di sicurezza, per diversi motivi. In primo luogo, molte persone scelgono password semplici e comuni facili da ricordare e facili da indovinare per gli hacker, mentre alcuni sistemi costringono gli utenti a creare password così ingombranti che è più probabile che le dimentichino. Ciò si traduce in password annotate in modo insicuro durante il giorno e post-it bloccati su bacheche e schermi di computer.
Poi c’è il problema del riutilizzo delle password. A meno che tu non sia una persona eccessivamente attenta alla sicurezza, è probabile che tu abbia utilizzato la stessa password su più di un servizio online. In effetti, gli studi hanno dimostrato che quasi i due terzi delle persone utilizzano la stessa password per più servizi online e molti utilizzano un’unica password per qualsiasi cosa, dall’online banking ai siti di shopping fly-by-night. Tutto ciò che serve è una massiccia violazione dei dati e quelle password sono in circolazione, pronte per essere utilizzate da hacker criminali per attaccare ogni altro sito in cui potrebbero essere state utilizzate.
Infine, anche se lo sei abbastanza diligente da utilizzare una password univoca su ogni sito che visiti, potresti comunque cadere preda di un attacco di phishing in cui un truffatore cerca di farti divulgare la tua password attirandoti su un sito Web falso che assomiglia a Apple, Amazon o il tuo sito online banca.
Sono fallimenti come questi con l’umile password che hanno creato la necessità di metodi di autenticazione secondari, come codici aggiuntivi a sei cifre inviati al tuo telefono per confermare che sei davvero tu che stai effettuando l’accesso. Tuttavia, anche questi non sono infallibili; i criminali si sono rivolti agli attacchi”SIM-jacking”per intercettare quei codici SMS e ottenere l’accesso ad account più sensibili. Inoltre, le password SMS sono ancora vulnerabili agli attacchi di phishing poiché un sito falso può indurti a rivelare anche quello.
Sebbene altri metodi come le chiavi di sicurezza fisiche e Google Smart Lock siano notevolmente più sicuri, questi possono anche essere più complicati da configurare e più ingombranti da utilizzare.
Tuttavia, la realtà è che i metodi di autenticazione a due fattori sono solo un cerotto: un tentativo di”risolvere la soluzione”dell’utilizzo delle password anziché risolvere il problema con le password, ovvero che sono intrinsecamente un’idea imperfetta.
Inserisci le passkey
Le grandi aziende tecnologiche lo sanno e hanno lavorato dietro le quinte per anni per eliminare la necessità delle password tradizionali. Tuttavia, non è una piccola ambizione; le password sono state cablate nella nostra coscienza pubblica e migliaia di sistemi in tutto il mondo sono costruiti per utilizzarle come mezzo principale per autenticare gli utenti.
La forza trainante di questo progetto è la Fast Identity Online (FIDO) Alliance, una coalizione di settore costituita di un gruppo eclettico di aziende che include giganti della tecnologia come Apple, Amazon, Google, Meta e Microsoft, oltre a pesi massimi finanziari come AMEX, Mastercard e VISA e aziende come 1Password, LastPass, Fetian e Yubico, specializzate in autenticazione software e hardware.
La FIDO Alliance ha già sviluppato diversi standard per le chiavi di sicurezza fisica a due fattori nel corso degli anni. Tuttavia, uno dei suoi obiettivi finali è eliminare la necessità di un secondo fattore rendendo il primo fattore molto più sicuro creando qualcosa chiamato “passkey”.
L’anno scorso, quell’iniziativa ha avuto un grande impulso quando Apple ha aggiunto il supporto per le passkey in iOS 16 e macOS Ventura. Ora Google sta facendo il primo passo per utilizzare questa nuova tecnologia per eliminare completamente le password.
Esistono già diversi siti che supportano le passkey di Apple, ma la maggior parte lo utilizza come metodo di autenticazione secondario. In altre parole, puoi usare la tua passkey iCloud in Safari dopo aver inserito la tua normale password come se fosse una chiave di sicurezza fisica. Sebbene ciò aggiunga molta sicurezza in più, devi comunque inserire la tua password.
Tuttavia, Google è ora pronto a utilizzare le passkey come unico mezzo di autenticazione per tutti i tuoi servizi Google. In un post sul blog appropriatamente intitolatoL’inizio della fine del password, Google ha annunciato di aver”iniziato a implementare il supporto per le passkey negli account Google su tutte le principali piattaforme”.
Le passkey sono facoltative, ma coloro che aderiscono al nuovo sistema possono utilizzare una passkey invece di una password. Per gli utenti Apple, ciò significa che potrai accedere a qualsiasi servizio Google in Safari sul tuo iPhone, iPad e Mac semplicemente autenticandoti con Face ID o Touch ID, poiché la passkey verrà sincronizzata con tutti i tuoi dispositivi utilizzando Portachiavi iCloud.
Se utilizzi Chrome o un altro browser o accedi al Mac o all’iPad di qualcun altro che non utilizza il tuo account iCloud, ti verrà invece mostrato un codice QR. In questo caso, apri l’app Fotocamera sul tuo iPhone, puntala verso lo schermo e tocca Accedi con passkey e dovresti essere a posto.
Mentre iCloud Keychain è una delle soluzioni più semplici per Utenti iPhone, iPad e Mac per gestire le passkey, non sarà l’unica opzione. Il famoso gestore di password 1Password, che è anche membro della FIDO Alliance, ha annunciato che presto sarai in grado di archiviare lì le tue passkey, rendendolo un’ottima soluzione per coloro che hanno bisogno di accedervi su Android o Windows.
Come per la maggior parte delle nuove funzionalità di Google, le passkey verranno implementate gradualmente, quindi potresti non essere in grado di configurarne una subito. Puoi verificare se sono disponibili visitando http://g.co/passkeys.
Google Gli utenti di Workspace, compresi quelli con account scolastici, dovranno attendere che i propri amministratori abilitino la funzione; quella capacità non è ancora disponibile, ma Google afferma che arriverà”presto”.