Dopo Apple, Google adotta le passkey per sostituire le password. Gli sviluppatori possono già testare questo metodo di autenticazione semplice e sicuro su Google Chrome e Google Play Services.
Sommario
Un futuro senza password non è poi così lontano? Va detto che le loro falle sono solo troppo ben note: sono spesso troppo deboli, riutilizzate su più siti e account, e possono essere compromesse dopo un phishing di successo. Sono state messe in atto soluzioni per colmare queste debolezze, come la doppia autenticazione – che purtroppo non è infallibile – e i gestori di password – che possono essere violati -, ma i rischi esistono ancora, soprattutto in un momento in cui gli hacker stanno mostrando sempre più immaginazione. È da un po’ che FIDO Alliance – un consorzio di grandi aziende tecnologiche, agenzie governative, fornitori di servizi, istituzioni finanziarie, processori di pagamento e altre industrie, tra cui Apple, Amazon, Microsoft, PayPal e Google – sta lavorando su una tecnologia volta a eliminare l’uso della password.
E la soluzione potrebbe venire dalle passkey – chiamate anche chiavi di accesso! Dopo che Apple ha annunciato di voler introdurle con iOS 16 e macOS, è il turno di Google di consentire agli sviluppatori di iniziare a implementare questa tecnica di autenticazione su Android, tramite la versione beta di Google Play Services e la versione Canary di Google Chrome. Per Diego Zavala, responsabile Android e Christiaan Brand, product manager Account and Security, l’implementazione delle passkey sarebbe un bel passo avanti perché “non possono essere riutilizzate, non trapelano nelle falle del server e proteggono gli utenti dagli attacchi di phishing“, come spiegano sul blog Android Developers.
Come funzionano le Passkey, il sostituto delle password
Utilizzando le passkey, l’utente sceglie un dispositivo – logicamente il suo smartphone – come sistema di autenticazione principale su siti e applicazioni. Al momento della registrazione o della modifica del mezzo di connessione, lo smartphone crea due chiavi crittografate: una pubblica che viene inviata al fornitore di servizi e una chiave privata che rimane memorizzata nel telefono e consentirà al sito web o all’applicazione di autenticarlo sbloccando il dispositivo tramite il suo meccanismo di autenticazione dello smartphone: codice PIN, modello, riconoscimento facciale o impronta digitale.
Per semplificare il tutto, invece di inserire una password, basta usare il solito metodo di sblocco del suo dispositivo principale. E il gioco è fatto! La passkey dello smartphone può essere utilizzata anche per connettersi a un sito tramite un altro dispositivo, come il suo laptop. Basta scansionare il codice QR che viene visualizzato sul sito con il tuo smartphone. Alla fine, l’obiettivo è consentire l’uso delle password su diverse piattaforme – Windows, macOS, ChromeOS, Android e iOS – in modo che, ad esempio, un utente del browser Chrome su Windows possa autenticarsi su un sito utilizzando una passkey memorizzata su un iPhone.
Cosa cambia per chi usa le Passkey?
Concretamente, quotidianamente, l’uso di passkey non cambia nulla per l’utente. In effetti, ci sono già standard per connettersi ad applicazioni o siti utilizzando uno dei dispositivi, ad esempio confermando tramite il proprio smartphone che la connessione viene da noi, o premendo un numero particolare che viene visualizzato su di esso. Tuttavia, è sempre necessario accedere almeno una volta con una password per poter attivare questa funzione di accesso.
E questo non impedisce di poter recuperare l’accesso al proprio account grazie alle proprie credenziali – che possono quindi essere dirottate. Ma l’uso di passkey solleva anche alcuni svantaggi, soprattutto quando si desidera sostituire lo smartphone Android con un iPhone – o viceversa – o si verifica un furto o una rottura del dispositivo. Devi quindi copiare manualmente le tue passkey nel nuovo telefono – il che è piuttosto noioso – o richiedere nuovi codici di accesso dopo tutti i servizi, dimostrando ogni volta la tua identità…
Quando saranno introdotte le Passkey di Google?
Le passkey di Google saranno disponibili per tutti gli utenti di Android e Google Chrome nel novembre 2022. Poi non resta che creare un’interfaccia di programmazione delle applicazioni (API) per consentirne l’uso sulle applicazioni Android native. Nel frattempo, è sempre meglio creare una password sicura.
Altri articoli che consigliamo:
