Google Passkey: il futuro dell’autenticazione senza Password

Passkey

Con l’evolversi dei servizi informatici è stato necessario introdurre delle Password per verificare l’identità di chi accedeva al determinato servizio/applicazione.

Le Password sono create da stringhe di caratteri alfanumerici e simboli che hanno lo scopo di fornire una protezione rispetto all’accesso di persone estranee ai propri dati/applicazioni ed evitare attacchi informatici, sottrazione di dati e identità

La Password creata viene ad ogni accesso abbinata all’utenza e tale duetto viene confrontato con quello memorizzato nell’applicazione/servizio e solo se la corrispondenza è esatta viene concesso l’accesso.

Nel tempo purtroppo si sono evoluti i sistemi per identificare in modo malevolo le Password dei servizi più riservati e sensibili (ad esempio applicazioni bancarie, sanitarie, industriali) e quindi per garantire maggiore sicurezza agli utenti è stato chiesto la creazione di Password complesse e molto lunghe.

Per esempio evitando frasi prevedibili, parole comuni, sequenze facilmente identificabili, chiedendo inoltre di alternare lettere maiuscole e minuscole, numeri e simboli.

Una Password di oltre 12 caratteri diminuisce i rischi di attacchi informatici e viene sempre consigliato di non usare la stessa Password su più account o servizi.

Essendo molto difficile memorizzare numerose Password complesse e lunghe, alcuni player hanno proposto l’utilizzo di un gestore di Password affidabile, memorizzando sul proprio account in modo criptato e sicuro le proprie Password

Negli ultimi anni, alcune applicazioni ci hanno inoltre chiesto di utilizzare la cosiddetta “autenticazione a più fattori “ la cosiddetta MFA. Questa autenticazione prevede che l’utente fornisca due o più metodi per garantire che sia proprio lui ad effettuare l’accesso – per esempio una Password e un SMS mandato sul proprio telefonino. Questo doppio livello di sicurezza rende maggiormente difficile l’accesso a malintenzionati.

Anche in Italia Google ha rilasciato Google Passkey che ci permetterà di accedere al nostro account Google senza password e soprattutto in modo sicuro.

Molti di noi per avere accesso alle nostre Password le abbiamo salvate su alcuni servizi Cloud. Il problema è che un hacker riuscirà ad avere accesso a centinaia di migliaia di password se riesce ad avere accesso a quel cloud

La soluzione informatica per gestire in modo più sicuro queste autenticazioni è la Passkey.

In cosa consiste al Passkey?

E’ una credenziale digitale che è basata sugli standard di WebAuthn. In particolare viene creata per ogni applicazione una chiave crittografata pubblica e una privata.

La pubblica è contenuta nell’applicazione / servizio che dobbiamo usare, mentre la chiave privata è legata al dispositivo da cui stiamo effettuando l’accesso. Solo l’insieme di queste due chiavi garantisce la possibilità di autenticarsi.

Non servirà quindi ricordarsi tutte le password dei nostri account, ma sarà sufficiente usare il nostro dispositivo e l’accesso verrà eseguito tramite riconoscimenti biometrici (riconoscimento facciale o impronti digitali) o eventualmente tramite il PIN dello smartphone.

Viene quindi aggiunta sicurezza nel momento in cui i server sono attaccati e gli account del servizio sono stati violati. Con la Passkey i singoli account non possono essere violati perché serve che ci sia anche la chiave privata che risiede unicamente all’interno del dispositivo dell’utente.

Come funziona la Google Passkey?

Come prima cosa serve accedere all’account di Google con le proprie credenziali – secondo il vecchio metodo. La pagina a cui accedere è questa. Troverete un pulsante blu con la scritta “Usa passkey” così da abilitare questa funzionalità. Essendo Android integrato con Google i dispositivi si configureranno automaticamente mentre per altri dispositivi o PC sarà necessario creare una Passkey. A questo punto dovrete inserire il PIN di sblocco o i dati biometrici e la configurazione di Google Passkey è completata.

Attualmente i metodi di autenticazione precedentemente impostati non sono sovrascritti, si tratta solo di una modalità ulteriore e quindi anche in caso di perdita/rottura di un dispositivo sarà sempre possibile accedere nella vecchia modalità e ricreare una nuova Passkey

La sicurezza è garantita anche dal fatto che i dati biometrici non saranno mai inviati al servizio a cui stiamo accedendo, rimangono solo a disposizione del dispositivo da cui si sta accedendo e solo esso può fare il match con la chiave privata.

Sono così garantiti gli attacchi phishing perché l’accesso ad applicazioni/siti può avvenire solo dal dispositivo certificato e la chiave privata non potrà mai essere rivelata perché non la sa neppure il proprietario del dispositivo.

Sarà questa la nuova frontiera dell’autenticazione?

Sicuramente questa modalità di semplifica la vita garantendoci maggiore sicurezza

Google Passkey