Alcuni l’hanno definita una “piccola rivoluzione” digitale, mentre per altri cambierà radicalmente le abitudini di milioni e milioni di utenti. Di sicuro Google ha mosso il primo decisivo passo per un futuro senza password, per come le abbiamo concepite e utilizzate fino ad oggi. Il colosso di Mountain View ha infatti avviato la procedura per implementare la tecnologia Passkey su Android e Chrome.
Cos’è il sistema Passkey e cosa cambia
Con un post sul suo blog ufficiale, Google ha annunciato l’inizio del supporto per Passkey. Si tratta del sistema accettato unilateralmente anche da Apple e Microsoft nel contesto della Fido Alliance, con cui si mira a superare l’uso delle password alfanumeriche. Una volta abilitata, questa tecnologia permetterà a sviluppatori di app e gestori di siti web di accettare l’autenticazione degli utenti sfruttando le misure già usate per il loro smartphone, come le impronte digitali, il riconoscimento facciale o un codice temporaneo (Otp, One time password), da riprendere con la fotocamera del telefonino.
Per salvaguardare la sicurezza dei dati, app e siti non potranno “leggere” le informazioni legate alla biometria – riconoscimento facciale o impronte digitali. Queste resteranno solo sul dispositivo personale, ma riceveranno l’ok a procedere dal sistema operativo, in questo caso Android. Proprio come quando si sblocca lo smartphone, basterà utilizzare tali metodi per autenticarsi su applicazioni e portali o per effettuare pagamenti digitali.
Il futuro delle password
L’obiettivo dichiarato di Google è diffondere l’utilizzo di Passkey a livello globale, con lo scopo di offrire un accesso sicuro a tutti i servizi, per navigare sul web, effettuare pagamenti telematici e accedere a numerosi servizi online. Man mano che sempre più app e siti aggiungeranno il supporto per Passkey, gli utenti vedranno cambiare la loro relazione con le credenziali online.
“Le chiavi di accesso sono un sostituto molto più sicuro rispetto alle password e ad altri fattori di autenticazione “, osserva Google. “Non possono essere riutilizzate, non trapelano in caso di violazioni e proteggono gli utenti dal phishing“. Le credenziali biometriche vengono salvate sull’app Google Password Manager, dove verrà automaticamente eseguito il backup sul cloud per evitare blocchi in caso di smarrimento del dispositivo.
Due chiavi di sicurezza
Col nuovo sistema si dirà insomma addio alle combinazioni alfanumeriche complesse e facilmente dimenticabili e ai procedimenti complessi come l’autenticazione a doppio fattore. Al loro posto è prevista una combinazione di due chiavi di sicurezza che sfruttano il dispositivo personale principale. Queste chiavi sono associate a un determinato servizio, a un’applicazione oppure a un sito.
Al primo accesso, la prima chiave verrà automaticamente generata e memorizzata sul dispositivo, come ad esempio lo smartphone, mentre la seconda chiave di tipo pubblico verrà registrata nel database del portale del servizio che si intende usare.
Negli accessi successivi il portale riconoscerà l’utente tramite il dispositivo attivando automaticamente la seconda chiave pubblica. A questo punto il sistema chiederà la seconda conferma della chiave privata tramite un’azione da parte dell’utente, che può essere il riconoscimento facciale o tramite impronta digitale, ma anche un comando vocale o una sequenza di tasti.
