Le passkey sono un'alternativa sicura che ci avvicina di un passo a un futuro senza password. Ecco tutto ciò che devi sapere sulle passkey.
Le password sono un notoriamente punto debole in qualsiasi flusso di lavoro di sicurezza. Sono difficili da generare e ricordare e, troppo spesso, sono facili da indovinare per gli aggressori. Tuttavia, per fortuna, le passkey sono qui per salvare potenzialmente la giornata.
Le passkey sono più veloci e più sicure delle password
Nel maggio 2023, a un post su La parola chiave, Google ha annunciato l'inizio della fine della password, implementando passkey come metodo alternativo per proteggere il tuo account Google. Ma cosa sono le passkey e in che modo le passkey possono aiutarti a proteggere il tuo account Google?
Le combinazioni di nome utente e password sono state il metodo di autenticazione preferito sin dai primi giorni dei computer. Ma anche nei giorni in cui gli aggressori avevano bisogno dell'accesso fisico a una macchina e toccavano manualmente i tasti premuti, l'ingegneria sociale significava che le password erano spesso banali da indovinare.
Anche oggi, le password più comuni si basano su informazioni personali come nomi, date, animali e cibo.
Questo perché l'utilizzo delle informazioni che puoi richiamare all'istante rende le password facili da ricordare. Non dimenticherai mai il nome del tuo cane, il compleanno del tuo coniuge o quel fegato e cipolle sono la tua cena preferita per un appuntamento.
Sfortunatamente, questo significa che anche i criminali possono indovinare la tua password, specialmente se ti viene data condivisione eccessiva sui social media.
Mentre i gestori di password offrono un servizio che consente di creare e gestire password casuali e non indovinabili, violazioni dei dati tra le più grandi società di password manager hanno fatto sì che le password appartenenti a milioni di utenti siano ora nelle mani di cattivi attori.
L'autenticazione a più fattori (MFA) aumenta la sicurezza garantendo che i potenziali ladri debbano conoscere sia la tua password che avere accesso all'app o al dispositivo fisico che utilizzi per autenticarti.
Le passkey di Google hanno lo scopo di eliminare le complicazioni e lo stress legati alla sicurezza delle password permettendoti di autenticarti istantaneamente utilizzando il tuo telefono Android, nessun gestore di password o MFA necessario.
Come funzionano le passkey?
Le passkey, più propriamente note come credenziali FIDO multi-dispositivo, sono la metà di una coppia di chiavi di crittografia. La chiave pubblica è conservata dal servizio a cui stai tentando di accedere, mentre la chiave privata è memorizzata sul tuo dispositivo e nel tuo account Google.
Quando accedi al tuo account Google tramite un browser o sul tuo telefono, non dovrai inserire la password o controllare la tua app SMS o MFA per un codice di autenticazione. Devi solo verificare te stesso utilizzando lo stesso metodo che usi per sbloccare il telefono. Questo può essere fatto tramite impronta digitale, codice pin o scansione facciale.
Le passkey create tramite un browser desktop possono essere utilizzate nelle app per dispositivi mobili o nei browser per dispositivi mobili.
A differenza delle password, le passkey non possono essere indovinate o rivelate attraverso un attacco di forza bruta, e lo sono semplici da configurare e utilizzare, il che significa che è più probabile che vengano adottati da persone a cui non piace il trambusto di MAE.
Google non è l'unica azienda tecnologica a utilizzare le passkey per migliorare la sicurezza, poiché sia Microsoft che Apple hanno iniziato a implementare le passkey nel 2022.
Come utilizzare le passkey di Google
È facile registrarsi per le passkey con il tuo account Google. Per iniziare visita g.co/passkeys e accedi al tuo account Google nel solito modo.
Clicca sul blu Usa passkey pulsante e vedrai una notifica che dice "Ora puoi usare le tue passkey per accedere".
Per provarlo, esci dal tuo account Google, quindi accedi di nuovo. Dopo aver inserito il tuo nome utente, non ti verrà chiesto di inserire una password. Invece, ti verrà chiesto di "Usa la tua passkey per confermare che sei davvero tu".
Clic Continua, quindi eseguire la scansione del codice QR con il telefono. Se utilizzi un PC, il telefono si connetterà al desktop tramite Bluetooth, quindi ti chiederà di selezionare una passkey per accedere. Esegui l'autenticazione con il tuo solito metodo di sblocco e verrai immediatamente registrato!
Ci sono alcuni svantaggi nell'usare le passkey
Mentre le passkey promettono di rendere molto più semplice e sicuro l'accesso al tuo account Google e ad altri siti Web, ci sono alcuni possibili svantaggi nell'autenticazione della passkey.
L'ostacolo più ovvio è che è necessario un dispositivo compatibile con Google, Microsoft o Apple per utilizzare una passkey. Mentre la maggior parte delle persone ha uno di questi, altri sistemi operativi mobili come KaiOS sono ancora in uso oggi, e c'è un crescente movimento verso i dumbphone, che riducono al minimo le distrazioni e frenano i social media dipendenza.
E mentre non c'è dubbio che la passkey ti terrà al sicuro dai criminali che operano su Internet, se un utente malintenzionato lo ha fatto il tuo telefono in loro possesso, la sicurezza della tua passkey è valida solo quanto il mezzo con cui di solito sblocchi il tuo dispositivo. Face ID può fallire, le impronte digitali possono essere acquisite e il tuo PIN di quattro o sei cifre è ancora più facile da indovinare della tua password.
Se utilizzi il compleanno del tuo figlio maggiore come PIN di quattro cifre per sbloccare il telefono, ad esempio, e il tuo dispositivo viene smarrito o rubato, qualsiasi utente malintenzionato in grado di sbloccare il tuo telefono avrà accesso completo al tuo account Google, incluse tutte le tue e-mail, le tue password e tutte le passkey che hai impostato su. Saranno anche in grado di vedere un elenco degli account per i quali hai passkey.
Inoltre, se utilizzi la tua passkey per accedere a un PC, dovrai abilitare il Bluetooth. Questo può essere un notevole consumo di energia se lo lasci acceso.
Puoi ancora utilizzare la tua password di Google
Sebbene Google alla fine intenda eliminare completamente le password e altri metodi di autenticazione, non è ancora pronta per farlo.
Se ti sei registrato per la passkey ma desideri comunque utilizzare la tua password, fai clic su Prova in un altro modo dopo aver inserito il tuo nome utente. Ora clicca su Inserisci la tua password.
Al momento della scrittura, non siamo stati in grado di trovare un'opzione per disabilitare del tutto l'autenticazione della password, ovvero che, almeno per ora, utilizzare la tua passkey con Google è più una questione di comodità piuttosto che sicurezza.
Le passkey alla fine miglioreranno la tua sicurezza online
Incoraggiando l'uso delle passkey, Google spera che tu sia meno vulnerabile alla compromissione del tuo account.
Ma consentendo ancora l'accesso tramite password, senza alcun modo per rimuovere l'opzione, corri il rischio di essere cullato da un falso senso di sicurezza. Mentre Google passa a completare gli accessi senza password, assicurati di continuare a utilizzare password complesse e non indovinabili, insieme all'autenticazione a più fattori.