Siamo tutti cresciuti con in mente il cruccio di doverci ricordare a memoria decine e decine di password; ben presto tutto ciò non sarà altro che un ricordo grazie alla progressiva popolarizzazione delle passkey.
In origine c’erano codici numerici, un po’ come le combinazioni delle casseforti dove si nascondevano soldi e oggetti di valore. Con il tempo e la sempre maggiore necessità di tenere al sicuro gli oggetti di valore, i sistemi di sicurezza non hanno fatto altro che aumentare e aumentare di complessità.
A oggi sono di dominio comune i sistemi vault che permettono di accedere ad archivi con dentro tutte le credenziali di accesso che si desiderano, dopo anni in cui parlare di lastpass con i propri amici era sinonimo di iniziarli a un culto fantascientifico.
Ci stiamo però avvicinando al momento in cui le password non serviranno più, sostituite da qualcos’altro, di più efficace, semplice da ricordare e sicuro. Dove una volta c’erano otto caratteri alfanumerici con maiuscole, minuscole, simbolo speciali e tanto altro, oggi troveremo le passkey.
Cos’è una passkey?
Col termine Passkey si intende un nuovo sistema di autenticazione che permette, attraverso una combinazione di codici e informazioni biometriche, di migliorare il livello di sicurezza di un sistema di accesso.
L’obbiettivo principale di questo genere di strumento è chiaro: attraverso il miglioramento della sicurezza minimizzare le occasioni in cui gli attacchi di phishing vanno a buon fine. Attraverso le passkey la necessità di stare lì a memorizzare stringhe di caratteri e numeri molto lunghe verrà meno, dando inizio a una nuova era in cui l’accesso ad applicazioni e servizi viene certificato con una precisione a oggi aliena.
La passkey di Google è costruita sulla piattaforma WebAuthn; quando una passkey viene creata da un utente due chiavi crittografiche vengono generate dal sistema. Una di queste viene registrata dal sito web/servizio, mentre l’altra viene registrata dall’account; a questa viene aggiunta una terza chiave, questa volta privata, che invece viene salvata all’interno del dispositivo che si utilizza per la certificazione dei dati biometrici.
La tecnologia di WebAuthn permette anche la creazione di strumenti di backup, così da permettere l’esportazione della chiave e del profilo sicuro su altri dispositivi. Al momento molteplici sono i servizi che sfruttano questa tipologia di tecnologia: i vault delle password di Google e Apple (keychain) ne sono perfetti esempi, così come password manager molto famosi come 1Password o Dashlane.
Ok, come funziona all’atto pratico?
Da un punto di vista prettamente pragmatico le passkey funzionano attraverso la collaborazione di uno o più dispositivi. Ogni qual volta si vuole eseguire l’accesso a Google sarà necessario inserire il proprio indirizzo email e, invece della password, una combinazione di PIN e informazione biometrica; con l’annuncio del mese scorso e la sua partnership con FIDO Alliance, Google ha ufficialmente iniziato a supportare le passkey per i suoi servizi.
L’informazione biometrica è fondamentale e potrebbe risultare difficile da ottenere in caso di utilizzo di uno computer fisso; in questo caso la soluzione è rappresentata dai token di sicurezza hardware compatibili con uno specifico protocollo di sicurezza; probabilmente li conoscete già se avete un conto in qualche banca italiana.
Dato che rubare un dato biometrico è un pelo più complesso del rubare una password, attacchi come il phishing diventano radicalmente più difficili da portare a termine, senza considerare che aumenta anche il numero di dispositivi con i quali dover effettuare l’autenticazione.
Non ci sono molti altri requisiti da rispettare; questi sono quelli ufficiali comunicati da Google:
- computer con Windows 10+, computer con macOS Ventura+, computer con ChromeOS 109+, smartphone con iOS 16+, smartphone con Android6+, qualsiasi token di sicurezza hardware compatibile con il protocollo di sicurezza FIDO2
- browser in grado di supportare la tecnologia delle passkey; esempi: Chrome 109+, Safari 16+, Edge 109+;
- il dispositivo necessità che 2 funzioni siano attive al momento di creazione della passkey: Bluetooth e Blocco schermo
Ecco invece la procedura per la creazione delle passkey:
- il presupposto è essere in possesso di uno smartphone Android con accesso effettuato all’account Google; in questo caso le passkey saranno registrate in automatico utilizzando l’eventuale dato biometrico sfruttato per sbloccare lo schermo del telefono;
- In caso contrario è necessario accedere al proprio account Google e selezionare Crea una passkey -> Continua -> Seguire le istruzioni a schermo;
Ecco il trailer pubblicato da Google per spiegare agli utenti la funzione.