Quasi tutti nel settore tecnologico consigliano e utilizzano già password manager per creare password univoche e difficili da decifrare (e non come quelle più usate nel 2022). La stragrande maggioranza delle persone tuttavia riutilizza ancora troppe password per troppi servizi. Inoltre, le password stesse possono essere insicure se non adeguatamente protette dai servizi online. Per combattere questo, Google ha aggiunto il supporto per le passkey a Chrome 108 (già disponibile al download), un’alternativa alle password.
Secondo Google, le passkey dovrebbero risolvere le suddette carenze con le password. Le passkey non possono essere riutilizzate per servizi diversi, non possono essere trapelate come parte di violazioni del server e non possono essere oggetto di phishing da parte di utenti ignari. Inoltre, le passkey non sono esclusive di Google, il che le rende versatili e compatibili con più piattaforme.
Possono essere utilizzati su diversi sistemi operativi e funzionano con diversi browser e una manciata di gestori di password come 1Password, anche se molti altri hanno già promesso che aggiungeranno il supporto.
Copme funzionano le passkey in Google Chrome 108
Dopo alcuni mesi di test, le passkey sono ora disponibili in Chrome (108 e successivi) per Android, macOS e Windows 11 su siti Web e app che ne hanno implementato il supporto. Su Chrome, le passkey verranno sincronizzate e salvate in Google Password Manager.
Quando ti registri per un account con un sito Web che supporta le passkey, ti verrà chiesto di creare una passkey e quindi verificare con il PIN per lo sblocco dello schermo o con l’impronta digitale. Una volta salvato, puoi accedere con il riempimento automatico di Google Password Manager, proprio come faresti per qualsiasi servizio basato su password.
La differenza è solo che non hai una password effettiva che potresti digitare o che potrebbe trapelare.
Se vuoi accedere da un dispositivo su cui non hai effettuato l’accesso, ad esempio Chrome per desktop sul computer di qualcun altro, avrai comunque bisogno del tuo telefono per accedere con una passkey. Devi scansionare un codice QR per autenticarti. Nel processo, la tua passkey stessa non viene trasferita al computer.
Quando si tratta di sincronizzare le passkey sui propri dispositivi, Google carica sempre e solo copie crittografate end-to-end delle passkey nel proprio gestore di password. Per accedervi, devi autenticarti con uno dei tuoi dispositivi, impedendo anche a Google di mettere le mani sulle tue passkey.
Per autenticarti con le passkey, dovrai anche sempre sbloccare lo smartphone e gli attacchi di forza bruta vengono bloccati dopo un massimo di 10 falsi tentativi, rendendo quasi impossibile impersonarti. Per recuperare l’accesso per il legittimo proprietario, Google ha una serie di fallback nella manica che la società descrive nel suo blog sulla sicurezza.
