Google vuole portarci ulteriormente in un futuro senza password consentendo ai titolari di account personali di accedere con passkey invece di utilizzare passphrase e autenticazione a più fattori (MFA).
Le passkey sono l’ultima speranza per consentire a organizzazioni e privati di farla franca con le password. E quando diciamo passkey, pensiamo a cose come le app mobili per la lettura biometrica che possono essere utilizzate per autenticarsi e accedere agli account, sebbene queste chiavi possano assumere molte forme diverse.
Si spera che gli account importanti utilizzino una password e una qualche forma di MFA per autenticarsi: è qualcosa che conosci (la passphrase nella tua testa o un gestore di password) e qualcosa che hai (come un token del dispositivo o un generatore di token una tantum). Quindi il truffatore avrà bisogno sia della cosa che conosci sia della cosa a cui devi accedere. Le passkey sostituiscono password e MFA, essendo sia qualcosa che possiedi (l’app del telefono e la passkey biometrica) sia qualcosa (l’impronta digitale).
Le passkey sono approvate da aziende come Apple e Microsoft, che, come Google, hanno da tempo espresso la necessità di eliminare del tutto le password e sostituirle e MFA con passkey.
“L’uso delle password pone molte responsabilità sugli utenti”, scrivono Arnar Bergeson e Diana Smiters, ingegneri di Google Identity Ecosystems. annuncio Mercoledì. “Scegliere e ricordare password complesse su diversi account può essere difficile. Inoltre, anche gli utenti più esperti sono spesso indotti a darle via durante i tentativi di phishing.”
Ci sono innumerevoli altri problemi con le password. Gli utenti possono avere dozzine o centinaia di account e possono riutilizzare le password o fare affidamento su parole semplici – “password” e “123456” tendono ad essere comuni – per renderle più facili da ricordare.
L’AMF non è la soluzione completa
Avere un MFA è meglio di niente, anche se grava ancora sugli utenti che devono affrontare un ulteriore passaggio di verifica e non protegge completamente da phishing, credential stuffing e truffe mirate come gli scambiatori di SIM con verifica del testo. Non c’è nulla che impedisca a furbi furbi di raccogliere codici MFA insieme a nomi utente e password da pagine di phishing.
Inoltre, i gestori di password risolvono il problema di mantenere password complesse ma possono essere problematici: stai mettendo tutte le uova nello stesso paniere, per così dire, e cose come le violazioni della sicurezza di LastPass rendono alcuni di noi preoccupati per l’intero accordo.
Bergeson e Smiters hanno sostenuto che “le passkey aiutano ad affrontare tutti questi problemi”.
Le passkey si basano su uno standard sviluppato da Alleanza Fido e il World Wide Web Consortium. Le chiavi sono memorizzate su un dispositivo e i lettori biometrici si integrano con esso, ad esempio impronte digitali o scanner facciali accessibili tramite Face ID di Apple o Windows Hello di Microsoft.
Invece di fare affidamento su nomi utente, password e strumenti MFA, le passkey utilizzano informazioni biometriche e il dispositivo stesso per autenticare gli utenti. Ora gli utenti dell’account Google avranno questa opzione e potranno fare il primo passo Qui.
“Quando aggiungi una passkey al tuo account Google, inizieremo a richiederla quando accedi o esegui azioni sensibili sul tuo account”, hanno scritto gli ingegneri del software. La passkey stessa è memorizzata sul tuo computer locale o dispositivo mobile, che richiederà i dati biometrici del blocco schermo o il PIN per confermare la tua identità. I dati biometrici non vengono mai condivisi con Google o terze parti: il blocco dello schermo sblocca la passkey solo localmente. “
Niente più errori di password
Poiché le passkey si trovano solo sul dispositivo e, a differenza delle password, non possono essere scritte o consegnate accidentalmente o rubate a malintenzionati, teoricamentesi spera proteggano da phishing e altri attacchi e non possano essere riutilizzati altrove o esposti a fughe di database.
Ciò è significativo, dato che l’82% delle violazioni della sicurezza nel 2021 era dovuto a credenziali rubate, attacchi di phishing ed errori umani, il che pone un premio sulla protezione della password, ha affermato Verizon nel suo rapporto di indagine sulla violazione dei dati dell’anno scorso.
L’idea delle passkey sta guadagnando slancio. iOS 16 e macOS Ventura di Apple Supporto passkey E Google alla fine dell’anno scorso ha iniziato a fornire supporto Passkey per Chrome su Android, Windows e macOS. Anche Microsoft si sta muovendo verso le passkey.
Esiste un elenco crescente di servizi online che supportano anche lo strumento di sicurezza senza password, inclusi PayPal, eBay, WordPress e Kayak.
Inoltre, startup come Hanko stanno sviluppando tecnologie passkey. Nel novembre 2022, la società di gestione delle password 1Password Acquirente La startup Passage è stata lanciata per “aiutare ad accelerare l’adozione di passkey per sviluppatori, aziende e i loro clienti”, ha detto all’epoca il CEO Jeff Shiner.
Facilitare il cambiamento
“Le passkey sono ancora nuove e ci vorrà del tempo prima che funzionino ovunque”, hanno scritto Bergeson e Smiters.
“Tuttavia, la generazione di una passkey oggi comporta ancora vantaggi in termini di sicurezza in quanto ci consente di prestare maggiore attenzione agli accessi che risalgono alle password. Nel tempo, li esamineremo sempre più man mano che le passkey acquisiscono una conoscenza e un supporto più ampi”.
Tuttavia, l’uso di chiavi di accesso non significa che i consumatori possano utilizzare i loro telefoni solo dopo aver effettuato l’accesso. Le passkey possono essere generate per altri dispositivi come computer, laptop o tablet e alcune piattaforme eseguiranno il backup delle passkey e le sincronizzeranno con altri dispositivi. La passkey dell’iPhone può essere utilizzata su altri dispositivi Apple che hanno effettuato l’accesso allo stesso account iCloud.
Possiamo immaginare che alcuni di voi siano a disagio con la standardizzazione di password e MFA nelle passkey. Per i titolari di account Google, i metodi di verifica esistenti, tra cui password e MFA, continueranno a funzionare, nel caso in cui utilizzino dispositivi che non supportano ancora le passkey.
Tuttavia, “Se accedi a un dispositivo condiviso con altri, non dovresti creare una passkey lì. Quando crei una passkey su un dispositivo, chiunque abbia accesso a quel dispositivo e la possibilità di sbloccarlo può accedere a il tuo account Google”, hanno scritto i dipendenti di Google.
Infine, le passkey possono essere utilizzate anche per chi è registrato su Google Programma di protezione avanzata. ®
“Guru professionista del caffè. Giocatore tipico. Difensore degli alcolici. Fanatico del bacon. Organizzatore.”
/cdn.vox-cdn.com/uploads/chorus_asset/file/25705127/nothing1.jpg)
