Google ha recentemente annunciato che, in linea con i suoi sforzi per eliminare l’uso delle password, le passkeys diventeranno l’opzione di autenticazione predefinita per tutti gli utenti.
Questa decisione è stata comunicata durante la campagna annuale di sensibilizzazione sulla sicurezza informatica (CSAM) e segue l’introduzione del supporto per le passkeys da parte di Google cinque mesi fa. Dopo aver raccolto feedback positivi da parte degli utenti, Google ha deciso di implementare le passkey come metodo di accesso preferito per tutti gli account personali Google. Inoltre, nelle impostazioni del proprio account Google sarà attiva l’opzione “Ignora la password quando possibile“.

passkey

L’annuncio di Google è parte di un trend più ampio. Molte aziende infatti come il colosso americano stanno cercando di ridurre la dipendenza dalle password. Già a maggio 2022, le aziende Apple, Microsoft e Google hanno annunciato piani per supportare lo standard della FIDO Alliance e del World Wide Web Consortium (W3C), consentendo agli utenti di accedere automaticamente alle proprie credenziali di accesso FIDO o passkey sui dispositivi, compresi quelli nuovi, senza la necessità di registrare nuovamente ogni account.
Oltre a Google, altre grandi aziende come Ebay e Uber hanno recentemente abilitato le passkey per gli account degli utenti.

Ma per comprendere ciò che sta accadendo, approfondiamo il concetto stesso di passkey e del mondo che lo circonda.

  1. Cos’è una passkey?
  2. Chi usa le passkey?
  3. Quali siti web usano le passkey?
  4. Come funziona Google Passkey?
  5. I vantaggi dell’utilizzo delle passkey
  6. Le passkey sostituiranno completamente le password?

Cos’è una passkey?

Le passkeys sono una nuova tipologia di credenziali di accesso che eliminano la necessità di password. In questo caso, il processo di autenticazione richiede unicamente l’utilizzo di un’identificazione biometrica, come l’impronta digitale o il riconoscimento facciale oppure, l’inserimento di un PIN o di uno schema di swipe utilizzato con Android per l’accesso.

Funzionano tramite l’utilizzo del dispositivo dell’utente, quindi gli utenti non possono utilizzare le funzioni della passkey su un altro dispositivo diverso dal loro senza un codice QR. Gli utenti che desiderano utilizzare le soluzioni passkey da un dispositivo diverso, devono scannerizzare il codice QR o utilizzare il Face ID o il Touch ID.

Le passkeys sono state create grazie allo standard di sicurezza dell’API di Autenticazione Web che utilizza la crittografia a chiave pubblica per l’accesso. Ogni chiave è unica e creata con dati criptati per una sicurezza aggiuntiva, in pratica una versione digitale di una chiave elettronica.

Inoltre, le passkey offrono un ulteriore vantaggio agli utenti: rendono superflua l’autenticazione a due fattori (2FA) attraverso meccanismi come codici SMS, chiamate di sicurezza o link via email.

L’autenticazione a due fattori è ora un meccanismo essenziale per rafforzare la sicurezza e proteggersi dal furto di credenziali o dall’accesso non autorizzato. Però può risultare anche scomoda poiché richiede di prendere una chiamata o di attendere un SMS, una email con un codice numerico o un link.

Chi usa le passkey?

Le passkey vengono utilizzate principalmente da utenti che cercano soluzioni di autenticazione più sicure e convenienti. Tra questi ci sono individui che gestiscono dati sensibili, come informazioni finanziarie o personali, e professionisti del settore IT che necessitano di sistemi di sicurezza robusti.

Quali siti web usano le passkey?

Le passkey sono supportate da una serie di piattaforme online di grande rilievo.

Tra queste, Google, Apple e Microsoft offrono la possibilità di utilizzare passkey per l’accesso ai loro servizi. Anche grandi siti di e-commerce come eBay e piattaforme di servizi come Uber hanno abilitato l’uso delle passkey per migliorare la sicurezza degli account degli utenti. Questo elenco è destinato a espandersi man mano che altre aziende adottano gli standard della FIDO Alliance per implementare soluzioni di autenticazione senza password.

Come funziona Google Passkey?

A differenza delle credenziali basate su nome utente e password, le passkey utilizzano la crittografia asimmetrica o a chiave pubblica.
In altre parole, la credenziale è composta da due chiavi matematicamente correlate:

  • La chiave pubblica, che è memorizzata sul sito web o nell’app.
  • La chiave privata, che è memorizzata sul dispositivo dell’utente.

Poiché il sito web o l’app memorizzano solo la chiave pubblica, il furto o l’estrapolazione di una password non espone le credenziali dell’utente. Un attaccante con solo la chiave pubblica non può fare nulla: né identificare l’utente, né accedere al suo account.

Questo è uno dei motivi per cui le passkey sono più sicure delle password. Anche con il dispositivo che memorizza la chiave privata (l’altra “metà” della chiave), un attaccante dovrà comunque aggirare uno dei sistemi di identificazione che abbiamo menzionato:

  • PIN
  • schema di sblocco
  • impronta digitale
  • riconoscimento facciale.

I vantaggi dell’utilizzo delle passkey

Le passkey offrono una soluzione completa per l’autenticazione a più fattori, eliminando la necessità di password e codici OTP (come i classici codici a sei cifre). Questo garantisce una robusta protezione contro i tentativi di attacco phishing e supera le limitazioni delle password monouso basate su app o SMS, migliorando l’esperienza utente complessiva.

Le passkey rendono anche l’accesso più semplice: gli utenti infatti possono selezionare l’account desiderato senza dover inserire manualmente il nome utente.
Una volta configurata e registrata una passkey, gli utenti possono facilmente passare a un nuovo dispositivo senza dover ripetere il processo di registrazione. Questo rappresenta un notevole vantaggio rispetto alle tradizionali autenticazioni biometriche, che richiedono la configurazione su ogni dispositivo.

Le passkey sostituiranno completamente le password?

Le password esistono da molto tempo e le persone hanno familiarità nell’usarle.
Tuttavia, password deboli o riutilizzate possono mettere a rischio sia le persone che le aziende per cui lavorano, motivo per cui c’è stato un così forte sostegno alle passkeys.

Come con qualsiasi altro cambiamento, la transizione dalle password alle passkey probabilmente richiederà tempo.
Sicuramente però, con Microsoft, Google e Apple che sostengono così energicamente questa nuova tecnologia, non sarebbe sorprendente se le password scomparissero completamente nel corso dei prossimi anni.

Il supporto alle passkeys è integrato praticamente in tutti i dispositivi di calcolo moderni oggi e è sostenuto a livello industriale dai principali attori.
Questo porta a pensare che entro i prossimi 3-5 anni la stragrande maggioranza dei servizi per consumatori avrà opzioni di accesso tramite passkey, riducendo notevolmente la dipendenza dalle password.