Google sta introducendo una tecnologia che eliminerà la necessità di dover ricordare e utilizzare password diverse per tutti gli account che necessitiamo proteggere. Questa innovazione potrebbe riscrivere per sempre le pagine del futuro del web e della sicurezza informatica.
Con l’annuncio di Google di un sistema di login alternativo per i suoi innumerevoli utenti, il passaggio ai passkeys nel settore tecnologico riceve per la prima volta una spinta significativa e tempestiva.
Google ha dichiarato che coordinerà i suoi sforzi per consentire ai titolari di account personali di effettuare i vari login utilizzando una nuova alternativa alle classiche password: le cosiddette “Passkeys”
Table of Contents
Le passkeys di Google che andranno a sostituire le classiche password
La funzionalità sarà resa disponibile per tutti i miliardi di account dell’azienda a partire dai primi giorni di maggio di quest’anno. A quel punto gli utenti potranno cercarla e attivarla deliberatamente. Google ha dichiarato che nei prossimi mesi intende incoraggiare gli utenti a cambiare il loro metodo di accesso standard, che prevede l’uso di un nome utente e di una password, con una chiave di accesso, come parte del suo sforzo per promuovere le nuove Passkeys.
Per decenni, l’autenticazione basata su password è stata la norma in Internet (e nei computer in generale). Nonostante ciò, il sistema è afflitto da gravi difetti di sicurezza, il più importante dei quali è il fatto che gli hacker possono rubare la password o ingannare l’utente per indurlo a fornirla attraverso attacchi di phishing. Dipendendo da un modello separato che si basa su chiavi crittografiche salvate sui dispositivi per l’autenticazione dell’account, lo schema passkey è stato progettato appositamente per combattere gli attacchi avanzati tramite phishing.
Nel tempo trascorso da quando il gruppo commerciale noto come FIDO Alliance ha iniziato a sostenere apertamente l’uso delle passkey, gli sviluppatori dei tre maggiori sistemi operativi consumer del mondo – Microsoft, Google e Apple – hanno tutti rilasciato l’infrastruttura necessaria per abilitare le passkey. Non siete l’unico individeo al mondo che non ha mai usato un passepartout nella sua vita quotidiana. Anzi, siete ben lontani dall’essere l’unica persona.
Google cambia di nuovo le regole del gioco
La fornitura di passkey da parte dei servizi come valida alternativa di login per gli account utente è il passo successivo verso l’uso diffuso dei passkey. Finora hanno deciso di investire aziende come PayPal, Shopify, CVS Health, Kayak e Hyatt. L’introduzione dei passkeys per gli utenti di Google oggi è notevole per la profondità e l’ampiezza delle risorse e delle operazioni dell’azienda.
Secondo Andrew Shikiar, direttore esecutivo della FIDO Alliance, “è molto, molto significativo”. “Abbiamo raggiunto un punto cruciale. Se una grande azienda come Google abilita questa funzione e un gran numero di persone vede effettivamente i passkey sign-in, queste persone saranno più inclini a utilizzare i passkey sign-in in altri frangenti. Inoltre, accelererà i piani di implementazione di altre aziende, aiutandole a implementare in modo più efficace, perché impareremo da questa esperienza.
Come fare l’accesso con le passkeys di Google invece del classico login con nome utente e password
È possibile effettuare l’accesso con i passkey utilizzando sensori biometrici come gli scanner delle impronte digitali o del volto, il PIN di blocco del dispositivo sullo smartphone o i dongle di autenticazione fisica come YubiKeys. È necessario accedere a questo sito, effettuare il login utilizzando il nome utente, la password e qualsiasi altro fattore di autenticazione impostato, quindi fare clic su “+ Crea una passkey” sul dispositivo utilizzato per trasferire l’account Google.
Christiaan Brand, responsabile dei prodotti per l’identità e la sicurezza di Google e co-presidente del gruppo di lavoro tecnico FIDO2, sostiene che l’azienda ha la possibilità di modificare il modo in cui gli utenti pensano all’accesso. “Abbiamo l’opportunità di cambiare il modo in cui gli utenti pensano all’accesso”, aggiunge Brand.
“Se riusciamo a cambiare il modo in cui l’accesso funziona per il vostro account Google, speriamo che i consumatori comincino ad abituarsi alla tecnologia e speriamo anche che questo segnali all’industria che non stiamo solo parlando di queste cose: è pronto per l’adozione in prima serata”.
Grazie all’uso di servizi crittografati end-to-end come Google Password Manager e iCloud Keychain, i vostri passepartout possono essere sincronizzati su tutti i vostri dispositivi. È inoltre possibile impostare le chiavi d’accesso su più dispositivi producendo un codice QR su uno dei dispositivi quando questo è connesso al proprio account Google. Questo codice QR può essere utilizzato per autorizzare il dispositivo su cui si desidera effettuare l’accesso su un altro dispositivo.
Tutte le chiavi di accesso in ordine, ciascuna al proprio posto
Nella “Pagina di gestione delle chiavi di accesso”, dove è possibile esaminare ed eliminare le chiavi di accesso associate al proprio account Google, vengono presentate tutte le chiavi di accesso. È inoltre possibile memorizzare una chiave di accesso per il proprio account sul dispositivo di un amico o di un familiare su cui fare affidamento nel caso in cui si perda l’accesso al proprio dispositivo. Se si utilizza un dispositivo condiviso per accedere al proprio account Google e si accede con una chiave d’accesso, è necessario ricordarsi di revocare la chiave d’accesso non appena si è terminato.
“Quando un fornitore o uno sviluppatore distribuisce la passkey solo per iOS o solo per Android, questo non è utile”. Le password non funzionano così: tutti usano le password”, spiega Brand. “Le password sono ovunque.”
Pertanto, era essenziale per noi supportare il maggior numero possibile di dispositivi diversi nel primo giorno di lancio, senza alcuna esclusione.
Anche dopo aver creato una chiave d’accesso per il proprio account (o cinque chiavi d’accesso), Google sostiene che il metodo di accesso classico che prevede l’utilizzo di nome utente e password non sarà eliminato e che si potrà continuare a utilizzarlo se lo si desidera. Tuttavia, l’azienda scommette sul fatto che, dopo aver fatto un po’ di esperienza con i passkeys, i clienti li utilizzeranno volentieri e li troveranno più facili da mantenere rispetto alle password. Inoltre, una volta impostata una chiave d’accesso su un dispositivo, Google la riconoscerà automaticamente e inviterà l’utente ad accedere con quel metodo in futuro.
Google prevede un’adozione delle Passkeys su larga scala già dal lancio
Secondo Brand, nei primi test condotti su alcune migliaia di utenti, le percentuali di successo degli accessi con i passkeys sono state immediatamente superiori a quelle degli accessi tradizionali con nome utente e password. Questo non significa che non ci saranno problemi con i passkey o che non ci saranno quelle che Brand definisce “asperità” nei casi d’uso supportati. Tuttavia, Google ha dichiarato che intende indagare e correggere il maggior numero possibile di questi problemi, in modo che le aziende più piccole abbiano un maggiore senso di sicurezza quando utilizzano i passkey.
La dichiarazione è stata fatta da Google poco prima di mercoledì, giorno in cui si celebra la Giornata mondiale delle password. D’altro canto, i sostenitori della passkey stanno intensificando gli sforzi per rendere irrilevante questa ricorrenza.
“Alla fine sarà come la Giornata mondiale del cavallo e del buggy”, aggiunge Shikiar. “Penso che succederà”. Per il momento, questo è un ottimo promemoria della difficoltà del compito da svolgere, che è quello di eliminare le password.