Come Google Passkey cercherà di stravolgere il modo di gestire le password

Fine degli sforzi di memoria per cercare di imprimere nella nostra mente lunghe e complesse (come definito dagli standard di sicurezza) password. Fine dei documenti (digitali – anche nei cloud – o su carta) in cui siamo soliti appuntare le parole-chiave per accedere ai nostri account nel web. Fine del processo dell’autenticazione a due fattori che per anni è stato lo strumento più consigliato dagli esperti per salvaguardare i nostri profili (social e non solo). Dopo l’inizio delle operazioni avviato il mese di ottobre scorso, arriva anche in Italia il servizio Google Passkey che servirà a sostituire quegli impianti di sicurezza a cui siamo sempre stati abituati. E, secondo il gigante di Mountain View, si riuscirà a debellare anche quella fastidiosa e pericolosa pratica chiamata phishing.

LEGGI ANCHE > Come funziona la password di Google che si punta a rendere globale

Il device (che sia un pc, uno smartphone o un tablet) diventa il centro della sicurezza dei nostri account. Perché proprio il dispositivo sarà la “casa” di questa chiave crittografata privata che, poi, si andrà ad unire a quella “pubblica” che sussiste all’interno della piattaforma web alla quale vogliamo accedere. E per funzionare, basterà il classico riconoscimento biometrico (scansione del viso, dell’impronta digitale) o con un PIN locale (ovvero quello che serve per sbloccare uno smartphone, ovviamente non quello per lo sblocco SIM).

Google Passkey, cos’è e come funziona

Dunque, il sistema di Google Passkey si basa su due chiavi crittografate che interagiscono con loro. Una pubblica – presente all’interno dei siti su cui vogliamo accedere con le nostre credenziali -, l’altra privata all’interno del nostro dispositivo (o dei nostri device) in modo tale da consentire l’accesso attraverso un PIN locale o il riconoscimento biometrico. L’azienda di Mountain View garantisce che i dati biometrici (così come la passkey) non sarà condivisi con nessuno dei siti. In particolare, nella sua nota, Google spiega:

«L’ingrediente principale di una passkey è una chiave privata crittografica: questo è ciò che è memorizzato sui tuoi dispositivi. Quando ne crei uno, la chiave pubblica corrispondente viene caricata su Google. Quando accedi, chiediamo al tuo dispositivo di firmare una verifica univoca con la chiave privata. Il tuo dispositivo lo fa solo se lo approvi, il che richiede lo sblocco del dispositivo. Verifichiamo quindi la firma con la tua chiave pubblica. Il tuo dispositivo garantisce inoltre che la firma possa essere condivisa solo con i siti Web e le app di Google e non con intermediari di phishing dannosi. Ciò significa che non devi essere così attento a dove usi le passkey come faresti con password, codici di verifica SMS, ecc. La firma ci dimostra che il dispositivo è tuo poiché ha la chiave privata, che eri lì per sbloccalo e che stai effettivamente tentando di accedere a Google e non a un sito di phishing intermedio». 

Una dinamica che funziona, ma non a livello globale, anche già su altre piattaforme (come nell’esperienza di Apple per i suoi dispositivi e di Paypal per l’accesso alla sua app mobile).

Come creare una Passkey su Google

Ma come si crea questa passkey? Sarà necessario un veloce passaggio all’interno del proprio account Google dal dispositivo che si vuole utilizzare e seguire le istruzioni.

Proseguendo, sarà richiesto di utilizzare il proprio strumento di riconoscimento (impronta digitale, scansione del volto o PIN locale) e da quel momento in poi non sarà più necessario inserire una password per accedere al proprio account. Dunque, la procedura di attivazione è piuttosto semplice e immediata.

Il livello di sicurezza

Dunque, ci stiamo approcciando all’era dell’addio alle password, confermando un impianto già avviato da tempo anche da altre piattaforme. Google sostiene che questo sistema sia più sicuro delle password tradizionali e più rapido rispetto all’autenticazione a due fattori (che, in alcuni casi, rallenta le operazioni di accesso all’account). Ma se tutto si basa sul dispositivo, come proteggersi in caso di furto? Il livello di sicurezza sembra essere piuttosto saldo, perché in caso di perdita del device sarà comunque difficile (ma non impossibile) per un malintenzionato accedere agli account registrati per via del riconoscimento biometrico (da preferire rispetto al PIN). Ovviamente, il consiglio è quello di attivare Google Passkey non su un unico dispositivo, in modo tale da poter – in caso di furto o smarrimento – accedere da altrove per poter cancellare quella chiave relativa a quel dispositivo da remoto.