ER Nozioni di informatica

Sicurezza – la Passkey

La passkey è un’alternativa alla password: un sistema di autenticazione che consente di accedere a programmi, pagine web, applicazioni o servizi specifici senza password. Google ha introdotto la passkey per Chrome alla fine del 2022. Le password, secondo Google, ci accompagneranno ancora per qualche anno per poi gradualmente sparire e diventare qualcosa di antiquato e inutilizzato.

Si riportano qui di seguito alcune informazioni tratte dalla Guida di Google sulle Passkey.

Introduzione

Le passkey sostituiscono le password in modo più semplice e sicuro. Con le passkey, gli utenti possono accedere ad app e siti web con un sensore biometrico (come un’impronta o un riconoscimento facciale), un PIN o una sequenza, evitando che debbano ricordare e gestire le password.

Una passkey può sostituire una password e un secondo fattore in un solo passaggio. Le passkey offrono una protezione efficace contro gli attacchi di phishing, a differenza degli SMS o delle password uniche basate su app. Poiché le passkey sono standardizzate, una singola implementazione consente un’esperienza senza password su browser e sistemi operativi diversi.

Che cosa sono le passkey

Una passkey è una credenziale digitale associata a un account utente e a un sito web o un’applicazione. Le passkey consentono agli utenti di autenticarsi senza dover inserire nome utente, password o fornire altri fattori di autenticazione.

Quando un utente vuole accedere a un servizio che utilizza le passkey, il suo browser o sistema operativo lo aiuterà a selezionare e utilizzare la passkey giusta. L’esperienza è simile a quella delle password salvate oggi. Per assicurarsi che solo il legittimo proprietario possa utilizzare una passkey, il sistema gli chiederà di sbloccare il suo dispositivo. Questa operazione può essere eseguita con un sensore biometrico (ad esempio un’impronta o il riconoscimento facciale), un PIN o una sequenza.

Per creare una passkey per un sito web o un’applicazione, l’utente deve prima registrarsi con il sito web o l’applicazione.

  1. Vai all’applicazione e accedi utilizzando il metodo di accesso esistente.
  2. Fai clic sul pulsante Crea una passkey.
  3. Controlla le informazioni archiviate con la nuova passkey.
  4. Usa lo sblocco con lo schermo del dispositivo per creare la passkey.

Quando torna in questo sito web o in questa app per accedere, può seguire questi passaggi:

  1. Vai all’applicazione.
  2. Fai clic su Accedi.
  3. Seleziona la passkey.
  4. Usa lo sblocco con lo schermo del dispositivo per completare l’accesso.

Il dispositivo dell’utente genera una chiave in base alla passkey. Questa chiave viene utilizzata per verificare le credenziali di accesso tra l’origine e la passkey.

Un utente può accedere ai servizi su qualsiasi dispositivo utilizzando una passkey, indipendentemente da dove è archiviata. Ad esempio, una passkey creata su un telefono cellulare può essere utilizzata per accedere a un sito web su un PC separato.

Come funzionano le passkey

Le passkey vengono utilizzate tramite un’infrastruttura del sistema operativo che consente ai gestori di creare, eseguire il backup e rendere disponibili le passkey alle applicazioni in esecuzione su quel sistema operativo. Su Chrome e su Android, le passkey sono archiviate nel Gestore delle password di Google, che le sincronizza tra i dispositivi Android dell’utente che hanno eseguito l’accesso allo stesso Account Google.

Gli utenti non sono limitati a usare le passkey solo sul dispositivo su cui sono archiviate: possono essere usate quando accedono a un PC, anche se non sono sincronizzate sul dispositivo, purché il telefono sia vicino al PC (i due dispositivi si connetteranno tramite Bluetooth con la lettura di un QR code) e l’utente ne approvi l’accesso.

ABILITARE LA PASSKEY NEL PROPRIO ACCOUNT GOOGLE

Accedere al proprio account Google e toccare su “Accedi con Google in modo più sicuro”. Toccare su “Ulteriori informazioni”. Toccare su “Abilita Passkey”  e inserire la propria password Google se viene richiesto.

Considerazioni sulla privacy
  • Alcuni utenti potrebbero essere sorpresi se un’autenticazione biometrica viene improvvisamente visualizzata su un sito web o in un’app e pensare che questa stia inviando informazioni sensibili al server. Con le passkey, le informazioni biometriche dell’utente non vengono mai rivelate sul sito web o nell’app. Il materiale biometrico non lascia mai il dispositivo personale dell’utente.
  • Le passkey da sole non consentono il monitoraggio di utenti o dispositivi tra siti. La stessa passkey non viene mai utilizzata con più di un sito. I protocolli passkey sono progettati con attenzione per impedire che le informazioni condivise con i siti vengano utilizzate come vettore di tracciamento.
  • I gestori di passkey proteggono le passkey da accessi e utilizzi non autorizzati.
Considerazioni sulla sicurezza
  • Le passkey utilizzano la crittografia delle chiavi pubbliche. La crittografia a chiave pubblica riduce la minaccia di potenziali violazioni dei dati. Quando un utente crea una passkey con un sito o un’applicazione, viene generata una coppia di chiavi pubblica/privata sul dispositivo dell’utente. Solo la chiave pubblica è archiviata dal sito, ma questa è inutile per un utente malintenzionato. Un utente malintenzionato non può ricavare la chiave privata dell’utente dai dati archiviati sul server, come invece  è necessario per completare l’autenticazione.
  • Poiché le passkey sono associate all’identità di un sito web o di un’app, sono protette dagli attacchi di phishing. Il browser e il sistema operativo garantiscono che una passkey possa essere utilizzata solo con il sito web o l’app che l’ha creata.

O