Potrebbe sembrare un po’ strano se non avete seguito lo sviluppo degli standard di autenticazione negli ultimi anni ma Google ha appena annunciato che l’autenticazione senza password arriverà su Android e Chrome nel corso del prossimo anno.
Ciò significa che accedere a un account sicuro da un sito Web o da un’app sarà semplice come sbloccare il telefono e più sicuro rispetto all’utilizzo di una password. Si tratta di una soluzione simile a quella già implementata da Microsoft dal 2021.
Le persone che hanno familiarità con il funzionamento dell’autenticazione a due fattori probabilmente capiscono già come l’autenticazione senza password sia possibile. In caso contrario, pensate solo in un modo basato sulla catena di fiducia, in cui si sa che ci si può fidare di determinati dispositivi perché sono già stati autenticati.
Piuttosto che fare affidamento solo su qualcosa che si conosce (la password), che può essere condiviso, sottoposto a phishing o distribuito tramite altri metodi, l’autenticazione senza password tramite sistemi come FIDO2 si basa su qualcosa che si deve dimostrare di essere.
Secondo l’annuncio, Google sta scegliendo di utilizzare lo smartphone come sistema di autenticazione senza password, (anche se probabilmente potrebbe utilizzare anche altre cose, come alcune chiavi di sicurezza hardware 2FA che supportano l’autenticazione senza password FIDO2).
Come nel caso di una chiave hardware Yubikey, la maggior parte degli smartphone può archiviare una chiave crittografica in modo sicuro. Attraverso la matematica della crittografia a chiave pubblica, una passkey memorizzata può essere associata a un account e il telefono verificato come collegato alla persona.
In questo modo, quando si accede, Google può eseguire il ping del telefono e uno sblocco rapido dimostra che:
- a) si è la persona legata a quel telefono poiché è stato possibile sbloccarlo tramite un meccanismo sicuro (PIN, impronta ecc)
- b) il tentativo di login è legittimo.
Quando si tratta della logica di questa operazione, l’unico vero cambiamento è eliminare la password stessa come requisito, sebbene ci fossero altri ostacoli tecnici da eliminare. Ad esempio, FIDO2 ha prerequisiti come l’API WebAuthn per funzionare nei browser e il supporto per questo doveva essere prima ampiamente implementato. Chrome l’ha implementato nel 2018.
