Google introduce Passkey, per accedere al proprio account senza password. L’addio alle password da parte del motore di ricerca punta a debellare il phishing.
“I vantaggi sono quelli che indica Google stessa”, commenta Luca Bechelli, Information & Cyber Security Advisor presso P4I (Partners4Innovation), “la direzione è quella giusta, ma ridurre drasticamente il phishing non significa mitigare anche gli altri rischi cyber che, anzi, potrebbero aumentare”. Ecco perché.
Indice degli argomenti
Google lancia Passkey
Passkey può sostituire la parola chiave e l’autenticazione a due fattori. Troppi utenti non sanno scegliere password complesse come richiede la cyber security. Inoltre molti altri ritengono farraginosa l’autenticazione a due o più fattori e non l’adottano.
Dopo l’annuncio di ottobre, Google compie un passo avanti nella protezione della propria utenza, combinando tra due chiavi di sicurezza che si affidano soprattutto allo smartphone, ma anche tablet o computer, purché siano il dispositivo personale principale.
“Passkey sfrutta codici crittografici instantaneamente creati in modo univoco sui singoli dispositivi”, spiega Luca Bechelli, “si creano di fatto dei wallet, protetti tramite meccanismi di sicurezza che ormai abbiamo a disposizione su tutti gli smartphone: biometrici, con riconoscimento facciale o dell’impronta o similari. Se non si è in possesso del dispositivo, è difficile carpirli e non si è in grado di impersonificare l’utente”.
La tecnologia passkey combina la facilità immediata della password e la protezione rafforzata dell’autenticazione a doppio fattore. Dopo Google, anche Apple e Microsoft sono pronti alla transizione
Come funziona
Una delle due chiavi si associa al servizio/sito/app e dunque sarà esterna. L’utente sceglierà l’altra, tra pin locale o il riconoscimento biometrico o l’impronta digitale.
Passkey consente di effettuare l’accesso all’utenza anche da dispositivi di uno stesso ecosistema. Infatti basta salvare una passkey su iPhone, per renderla disponibile sui Mac che condividono l’account iCloud.
Le due chiavi si generano soltanto una volta. Quando si vorrà accedere a Google, passkey aprirà una finestra che richiederà di inserire il pin locale o sfruttare il riconoscimento biometrico da associare alla passkey già messa a disposizione dal dispositivo.
Per un accesso singolo, è possibile usare temporaneamente un device esterno: sul nuovo device si seleziona la voce “usa passkey da un altro dispositivo” per abilitare il login, concedendo poi l’approvazione dal proprio dispositivo principale.
“La direzione è quella giusta”, mette in guardia Luca Bechelli, “ma c’è un punto d’attenzione” da non perdere di vista: “La sicurezza dei dispositivi fisici diventa un elemento cruciale più che in passato. Bisogna tenere sotto stretto controllo il proprio cellulare, il tablet, ma anche il proprio computer aziendale, dove questo meccanismo di sicurezza sarà soprattutto diffuso sui PC dei lavoratori. La sicurezza del dispositivo diventa essenziale perché la compromissione del dispositivo comporterà la compromissione di tutti gli account protetti dal Passkey“.
In caso di furto o smarrimento dello smartphone con tutte le chiavi archiviate sul dispositivo, è possibile cancellare da remoto, dalle impostazioni. Per questo motivo conviene non fermarsi a un unico device. Occorre stabilire subito un’opzione secondaria per semplificare eventualmente il processo di recupero.
Ma proprio il furto o lo smarrimento mettono in pericolo lecredenziali nell’era passwordless. “Mettere tutte le uova nello stesso cesto”, conclude Bechelli, “fa crescere malware in grado di prendere il controllo dei dispositivi” per carpire le credenziali nell’era passwordless: “Fioriranno di più queste tecniche di attacchi perché il baricentro dei rischi cyber si sposta dall’utente a questi nuovi apparati“.
