La necessità di ricordare lunghe e complesse password, che sono considerate sicure, sta giungendo al termine. Non dobbiamo più appuntare le parole chiave per i nostri account su documenti digitali o cartacei, né fare affidamento sull’autenticazione a due fattori, che per anni è stata raccomandata dagli esperti per proteggere i nostri profili online. Dopo l’avvio delle operazioni lo scorso ottobre, il servizio Google Passkey arriva anche in Italia per sostituire i sistemi di sicurezza a cui siamo abituati. Secondo Google, si riuscirà anche a debellare la fastidiosa e pericolosa pratica del phishing.
Il nostro dispositivo (sia un computer, uno smartphone o un tablet) diventa il fulcro della sicurezza dei nostri account. Sarà la “casa” di una chiave crittografata privata che si unirà a una chiave “pubblica” all’interno della piattaforma web a cui vogliamo accedere. Per accedere, basterà un riconoscimento biometrico tradizionale (scansione del volto, dell’impronta digitale) o un PIN locale (come quello per sbloccare uno smartphone, ma non quello per la SIM).
Google Passkey è un sistema basato su due chiavi crittografate che interagiscono tra loro. Una chiave è pubblica e si trova nei siti ai quali vogliamo accedere con le nostre credenziali, mentre l’altra è privata e si trova sul nostro dispositivo o dispositivi, consentendo l’accesso tramite un PIN locale o il riconoscimento biometrico. Google assicura che i dati biometrici e la passkey non saranno condivisi con nessuno dei siti. In particolare, Google spiega che:
“La chiave principale di una passkey è una chiave crittografica privata, che viene memorizzata sui tuoi dispositivi. Quando crei una passkey, la corrispondente chiave pubblica viene caricata su Google. Quando accedi, chiediamo al tuo dispositivo di firmare una verifica univoca con la chiave privata. Il tuo dispositivo lo fa solo se lo approvi, il che richiede lo sblocco del dispositivo. Verifichiamo quindi la firma con la tua chiave pubblica. Il tuo dispositivo garantisce inoltre che la firma possa essere condivisa solo con i siti web e le app di Google e non con intermediari di phishing dannosi. Ciò significa che non devi stare attento a dove usi la passkey come faresti con password, codici di verifica SMS, ecc. La firma dimostra che il dispositivo è tuo perché ha la chiave privata, che eri lì per sbloccarlo e che stai effettivamente tentando di accedere a Google e non a un sito di phishing intermedio”.
Questa dinamica funziona già su altre piattaforme (come nell’esperienza di Apple per i suoi dispositivi e di PayPal per l’accesso alla sua app mobile), ma non ancora a livello globale.
Per creare una Passkey su Google, è necessario accedere al proprio account Google dal dispositivo che si desidera utilizzare e seguire le istruzioni fornite.
Successivamente, verrà richiesto di utilizzare un metodo di riconoscimento (impronta digitale, scansione del volto o PIN locale). Da quel momento in poi, non sarà più necessario inserire una password per accedere all’account. La procedura di attivazione è piuttosto semplice e immediata.
Questo segna l’addio alle password, confermando una tendenza già avviata da altre piattaforme. Google sostiene che questo sistema sia più sicuro delle tradizionali password e più rapido dell’autenticazione a due fattori, che talvolta rallenta l’accesso all’account. Ma se tutto dipende dal dispositivo, come possiamo proteggerci in caso di furto? Il livello di sicurezza sembra essere solido, poiché in caso di smarrimento o furto del dispositivo, risulterà comunque difficile (sebbene non impossibile) per un malintenzionato accedere agli account registrati, grazie al riconoscimento biometrico (preferibile rispetto al PIN). Ovviamente, il consiglio è di attivare Google Passkey su più dispositivi, in modo da poter accedere da un’altra parte e cancellare la chiave relativa al dispositivo smarrito o rubato.