Google ha recentemente annunciato una nuova funzionalità chiamata Passkey per gli account Google personali, che dovrebbe rendere più semplice e sicuro l’accesso al proprio account rispetto alle password. Ironia della sorte, la nuova funzionalità destinata a sostituire le password è stata rilasciata in occasione del World Password Day.
Perché dobbiamo sostituire le password?
Certo, le password erano un ottimo modo per proteggere gli account quando sono state introdotte per la prima volta, ma non sono più abbastanza sicure. Sono scomodi da usare e sono vulnerabili agli attacchi di phishing e alle fughe di dati. E scaricano molte responsabilità sulle spalle degli utenti, cosa che, a dire il vero, la maggior parte delle persone fallisce.
Anche se non sei una di queste persone e la creazione di password complesse è uno dei tuoi superpoteri, rimarrai sbalordito nel sapere quanti utenti spesso non sono in grado di creare password complesse. Password come 123456 o password sono ancora le password più popolari in tutto il mondo.
E poi ci sono quelli che finiscono per creare una password complessa ma poi pensano che il loro lavoro sia finito e riutilizzano la password su più siti. Anche se sei una razza rara che utilizza password complesse e non le riutilizza mai, sono comunque vulnerabili agli attacchi di phishing, alle fughe di dati e ai più noti attacchi di “scambio SIM” che rendono persino inutile l’autenticazione 2SV (2FA/MFA).
Le passkey sono un’alternativa migliore perché trascendono questi problemi affrontati dalle password.
Cos’è una chiave di accesso?
Le passkey sono un nuovo tipo di autenticazione senza password che utilizza i tuoi dati biometrici, come un’impronta digitale, la scansione del volto o il blocco dello schermo del dispositivo, come un PIN, per verificare la tua identità. Ciò significa che non devi ricordare alcuna password e hai meno probabilità di cadere vittima di attacchi di phishing poiché non puoi rivelare accidentalmente la tua password a un’entità dannosa.
Sono anche più sicure e convenienti delle password. Poiché sono memorizzati sul tuo dispositivo, non sono vulnerabili alle fughe di dati. Sono anche più facili da usare rispetto alle password in quanto puoi accedere con un solo tocco o scansionare invece di dover digitare password lunghe ogni volta.
Le passkey sono anche univoche per il sito Web o l’app a cui stai effettuando l’accesso, quindi non c’è rischio di riutilizzarle.
Per gli utenti tecnici che vogliono dare una sbirciatina sotto il cofano, ecco una piccola spiegazione:
Le passkey si basano sullo standard WebAuthentication (o “WebAuthn”), che utilizza la crittografia a chiave pubblica. La crittografia a chiave pubblica utilizza due chiavi: una chiave pubblica, che è memorizzata sul server ed è visibile a tutti, e una chiave privata, che è una chiave segreta che nessuno conoscerà per crittografare i dati. La chiave privata è memorizzata sul tuo dispositivo e, nella maggior parte dei casi, non la lascia mai. In ogni caso, non viene mai condiviso con il server.
Come funzionano le passkey di Google?
Quando crei una passkey per il tuo account Google, viene creata una chiave privata che viene memorizzata sul tuo dispositivo. Viene inoltre creata una chiave pubblica corrispondente, che viene caricata sul server di Google.
Quando desideri accedere al tuo account Google, il tuo dispositivo deve firmare una sfida univoca con la chiave privata dopo la tua approvazione. Google verificherà quindi la firma utilizzando la chiave pubblica memorizzata sul proprio server e, se corrispondono, verrà eseguito l’accesso. Nessuna delle informazioni condivise con Google, ad esempio la firma e la chiave pubblica, conterrà alcuna informazione personale su la tua biometria.
Il dispositivo che utilizzi per le passkey assicurerà inoltre che la firma venga condivisa solo con i siti Web e le app di Google e non con i siti Web di phishing dannosi. Quindi, non devi essere così vigile quando usi le passkey come con altre forme di autenticazione.
Google ha sviluppato passkey con altri attori dell’alleanza FIDO; questo rende Passkeys compatibile con più dispositivi e sistemi operativi.
Anche Google Passkeys supporta vari dispositivi, sistemi operativi e browser. Se sei iscritto al programma di protezione avanzata, le passkey possono essere utilizzate anche al posto delle chiavi di sicurezza. Questi includono:
- Laptop o desktop Windows con Windows 10 o versioni successive
- Dispositivi Mac con almeno macOS Ventura
- iPhone con almeno iOS 16
- Dispositivi Android con Android 9 o versioni successive
- Chiave di sicurezza hardware (USB) che supporta il protocollo FIDO2
Avrai anche bisogno di uno di questi browser sul tuo dispositivo per utilizzare le passkey:
- Browser Chrome 109 o versioni successive
- Browser Safari 16 o versioni successive
- Browser Edge 109 o superiore
Il tuo dispositivo deve inoltre avere le seguenti abilitazioni per poter utilizzare le passkey:
- Blocco schermo
- Bluetooth (se desideri utilizzare una passkey sul tuo telefono per accedere al tuo account Google su un altro computer).
Le passkey potrebbero essere disponibili anche su altri dispositivi. Ad esempio, se crei una passkey sul tuo iPhone, verrà sincronizzata con il portachiavi iCloud e, quindi, sarà disponibile sul tuo Mac utilizzando lo stesso ID Apple. Allo stesso modo, se utilizzi un gestore di password, come Google Password Manager, per sincronizzare la tua passkey, può essere disponibile anche su altri dispositivi. I gestori di password utilizzano la crittografia end-to-end sulle passkey prima di sincronizzarle in modo da poter essere certi che siano ancora sicure.
Come creare una passkey per il tuo account Google
È possibile utilizzare uno qualsiasi dei dispositivi supportati per creare una passkey. Per il bene di questa guida, mostreremo il processo utilizzando un iPhone sul browser Safari, ma il processo sarà lo stesso anche su altri dispositivi.
Per creare una passkey, vai su g.co/passkeys . Dovrai verificare che sei tu che stai cercando di creare una passkey accedendo al tuo account.
Successivamente, tocca l’opzione “Crea una passkey”.
Apparirà un pop-up; tocca “Continua”.
Un altro pop-up di conferma apparirà dal portachiavi iCloud (se utilizzi un dispositivo Apple) chiedendoti se desideri salvare una passkey per il tuo account Google. Tocca di nuovo “Continua”. Quindi, verifica la tua identità utilizzando l’impronta digitale, FaceID o il blocco dello schermo.
E questo è tutto. Verrà creata una passkey. Tocca “Fine” per chiudere il popup.
Utilizzo della passkey per accedere
Ora, la prossima volta che vuoi accedere a Google o a qualsiasi servizio associato, puoi accedere con la tua passkey.
Ad esempio, supponiamo che tu stia effettuando l’accesso a google.com . Tocca “Accedi” e inserisci i dettagli del tuo account.
Quindi, nella schermata “Usa la tua passkey”, tocca “Continua”.
Apparirà un pop-up di sicurezza dal portachiavi iCloud; tocca di nuovo “Continua”. Quindi, conferma la tua identità utilizzando i tuoi dati biometrici o il passcode del dispositivo.
Utilizzo della passkey per accedere su un altro computer
Se desideri accedere al tuo account Google su un altro computer, puoi farlo utilizzando la passkey che hai appena creato sul tuo cellulare. Il tuo telefono deve essere vicino al tuo computer poiché viene utilizzato un piccolo messaggio Bluetooth anonimo per verificare che i tuoi dispositivi siano vicini l’uno all’altro.
Prendiamo ancora l’esempio di google.com . Fai clic sul pulsante “Accedi” e inserisci i dettagli del tuo account. Quindi, fai clic su ‘Continua’ nella schermata ‘Usa la tua passkey..’.
Quindi, scegli il dispositivo che ha la passkey. Qui abbiamo selezionato “Usa un telefono o un tablet”.
Un codice QR apparirà sullo schermo. Apri la fotocamera del telefono e scansionalo. Tocca l’opzione “Accedi con una passkey”. Quindi, conferma la tua identità utilizzando la biometria.
Se si tratta di un dispositivo di tua proprietà, puoi creare una nuova passkey su di esso per velocizzare il processo di accesso. Vai su g.co/passkeys sul browser del tuo computer e ripeti gli stessi passaggi descritti sopra. Il tuo account mostrerà anche le passkey che hai già su altri dispositivi.
Le passkey sono la nuova direzione sicura in cui ci stiamo muovendo. Crea una passkey per il tuo account Google e proteggiti da tutti i tipi di minacce che affliggono le password.
Lascia un commento