Password: da qualche tempo questa è stata la prima linea di sicurezza per le nostre varie forme di account, ma guardando indietro nel tempo, quanto sono sicure le password in generale?
Le nostre password sono una combinazione di nomi di animali domestici, date importanti, eventi chiave, nomi e così via, informazioni che potrebbero essere messe insieme dalla nostra presenza sociale.
Inoltre, la necessità di avere più password per i nostri vari account per evitare di essere compromessi in caso di fuga di dati ha reso ancora più difficile mantenere le password.
Fonte immagine: blog.google
L’inizio della fine della password – come intitolato da a Post del blog di Google. Da qualche tempo sono stati messi in atto colloqui e sforzi per eliminare gradualmente l’era delle password, con aziende leader come Google, Apple e Microsoft in prima linea nell’eliminazione graduale di questa tecnologia secolare e nella sua sostituzione con passkey.
In questo articolo, esamineremo cosa sono le passkey, come sono migliori e una guida passo passo su come impostare una passkey sul tuo account Google.
Sommario:
Cosa sono le passkey?
Le passkey rappresentano un nuovo modo di autenticazione dell’utente, più sicuro e migliore delle password tradizionali. Le passkey eliminano l’uso di password e nomi utente, eliminando il vecchio metodo di autenticazione, che è suscettibile ad attacchi di hacking, phishing e violazione dei dati, tra le altre minacce alla sicurezza ad essi correlate, e sostituindoli con mezzi più sicuri.
A differenza dei mezzi di autenticazione con password ampiamente utilizzati, le passkey eliminano il processo di ricordare una password poiché è priva di password. Le passkey riguardano l’utilizzo di PIN, sequenze o sensori biometrici come l’impronta digitale o il riconoscimento facciale per verificare la tua identità prima di accedere al tuo account. Pertanto, per utilizzare le passkey, gli utenti devono disporre di dispositivi che supportino la tecnologia.
Nonostante i consigli degli esperti di sicurezza sull’uso di password complesse e sull’avere password univoche per ogni account posseduto da un utente, gli utenti utilizzano ancora password deboli e utilizzano un’unica password per più piattaforme, aumentando ulteriormente le vulnerabilità coinvolte nel sistema di password.
Da qui lo sviluppo di passkey da parte del World Wide Web Consortium (W3C) e della FIDO Alliance, un’associazione che è stata in prima linea nella riduzione della dipendenza dalle password.
L’uso delle passkey è stato sviluppato a causa delle falle di sicurezza sfruttate nella tecnologia delle password esistente. A causa di questi difetti, abbiamo assistito all’adozione dell’autenticazione a due fattori, che dovrebbe fungere da secondo livello di sicurezza e identificazione prima che un utente possa accedere al proprio account, e abbiamo assistito anche all’ampia adozione di gestori di password per aiutare gli utenti tenere traccia delle diverse password che hanno su diversi account.
Come funzionano le passkey?
Sfruttamento della passkey su un’API di autenticazione basata sul Web WebAuthn. L’autenticazione Web utilizza una chiave pubblica e privata, nota come crittografia a chiave pubblica, per garantire che l’utente sia il corretto proprietario di un account.
A differenza delle password tradizionali, chiunque abbia la tua password può accedere e accedere al tuo account da qualsiasi luogo. Una passkey utilizza un mezzo rigoroso per garantire che tu sia chi sei.
La passkey è composta da due chiavi, la chiave pubblica e quella privata. Entrambe le chiavi sono essenziali poiché funzionano insieme come un puzzle per sbloccare e verificare l’identità dell’utente. La chiave pubblica è e può essere archiviata su qualsiasi sito Web o app per cui stai creando una passkey, mentre la chiave privata, come suggerisce il nome, è archiviata in modo sicuro ed è accessibile solo dal dispositivo utilizzato durante la creazione della passkey.
La chiave privata non è accessibile e archiviata su nessuna piattaforma basata su cloud, rendendola difficile da hackerare, il che rende la passkey più sicura. In termini semplici, desideri accedere al tuo account Google con una passkey.
Ricorda, la tua passkey è composta da due chiavi. Google invia una sfida crittografata al tuo dispositivo; ricorda, Google ha ora la tua chiave pubblica.
Quando il tuo dispositivo riceve la sfida crittografata, ti verrà richiesto di sbloccare il telefono con PIN, sequenza o Face ID, che poi firmerà la sfida con la tua chiave privata e inoltrerà la sfida firmata a Google.
Google quindi lo verifica con una copia della chiave pubblica. Se entrambe le chiavi corrispondono, la verifica crittografata viene decrittografata e Google riconosce la tua identità. Guardando da vicino, passkey funziona in modo simile a 2FA ma meglio.
Perché le passkey sono migliori?
Migliore e più forte delle password
Passkey utilizza la crittografia a chiave pubblica, un modo più sicuro per autenticare un utente. Sono più resistenti al phishing e ad altre forme di attacco rispetto alle autenticazioni basate su password. La tua chiave privata non viene mai condivisa sul cloud, garantendo così che solo tu possa accedere al tuo account.
Conveniente
A differenza delle password, che richiedono di ricordarle sempre fino ai maiuscoli e ai punti. Con Passkey puoi contare su un sensore biometrico per confermare la tua identità, che gestisce l’invio e l’autenticazione della tua identità e ti rende finalmente libero dal dover dimenticare la password.
Possibile violazione zero
Sebbene tu abbia bisogno sia della chiave pubblica che di quella privata per verificare la tua identità e sapere che la tua chiave pubblica è archiviata pubblicamente sul cloud del sito web, in caso di violazione, la chiave pubblica non può essere decodificata per ottenere l’accesso alla tua chiave privata, rendendo il tuo account ancora impenetrabile.
Esperienza utente migliorata
Passkey, come accennato, aiuta a eliminare la necessità di ricordare continuamente tutte le password ed elimina il rischio di dimenticare una password e perdere l’accesso al tuo account, rendendo l’autenticazione più semplice e intuitiva.
Configurazione della passkey sul tuo account Google
Google ha annunciato l’implementazione di Passkey durante la Giornata mondiale della password nel 2022. Attualmente, gli utenti possono abilitare l’opzione di una passkey per sostituire l’autenticazione già basata su password. In questa sezione esamineremo una guida passo passo per attivare la Passkey sul tuo account Google esistente.
Finalmente hai attivato Passkey e sei senza password.
Attiva la passkey sul cellulare (Android)
La password è morta?
In questo frangente, l’adozione di questa nuova tecnologia, proprio come qualsiasi altra, richiederà tempo. Pertanto, per il momento, ci aspetteremo ancora che le password siano ampiamente utilizzate dalla maggioranza, ma man mano che sempre più aziende opteranno per la tendenza all’assenza di password e all’uso della passkey. Le password potrebbero prima o poi scomparire.
Conclusione
Le passkey sono una tecnologia gradita, in cui la chiave pubblica funge da lucchetto ed è resa accessibile al pubblico ma può essere sbloccata solo dalla persona con la chiave giusta (chiave privata), che viene mantenuta segreta. Nel lungo periodo, i vantaggi di utilizzare Passkeys senza password supereranno i suoi demeriti.
Con l’aumento dell’adozione delle passkey da parte delle aziende come mezzo di autenticazione, sempre più persone se ne avvarranno una volta compresi appieno i vantaggi.
Successivamente, potresti anche leggere come implementare l’autenticazione Passkey/FIDO sulle tue applicazioni.