Davvero Google Passkey riuscirà a eliminare il phishing?

Nel lancio del servizio Google Passkey, l’azienda di Mountain View ha posto l’accento sull'”addio al phishing“. Ma questo sistema è realmente in grado di proteggere gli utenti da quei tentativi di truffa digitale che rappresentano uno dei più alti rischi informatici per i cittadini che utilizzano internet a livello base. Si tratta di una promessa che avrà effetti reali o un tentativo di convincere le persone senza che tutto ciò sia debellabile?

LEGGI ANCHE > Come Google Passkey cercherà di stravolgere il modo di gestire le password

Per provare a capire come il rapporto distruttivo Google Passkey-phishing sia potenzialmente reale, partiamo dalla descrizione fatta dall’azienda Big Tech in occasione del lancio del suo prodotto:

«Il tuo dispositivo garantisce che la firma possa essere condivisa solo con i siti Web e le app di Google e non con intermediari di phishing dannosi. Ciò significa che non devi essere così attento a dove usi le passkey come faresti con password, codici di verifica SMS, ecc. La firma ci dimostra che il dispositivo è tuo poiché ha la chiave privata, che eri lì per sbloccalo e che stai effettivamente tentando di accedere a Google e non a un sito di phishing intermedio. Gli unici dati condivisi con Google affinché funzioni sono la chiave pubblica e la firma. Nessuno dei due contiene informazioni sui tuoi dati biometrici». 

Dunque, secondo la descrizione fatta da Google, con Passkey sarà praticamente impossibile cadere negli effetti del phishing. Perché tra il sito “vetrina” (falso) utilizzato per effettuare la truffa non potrà accedere ai portali visto che la chiave crittografata privata esiste e sussiste solamente all’interno del dispositivo utilizzato dall’utente.

Google Passkey phishing, riuscirà a eliminarlo?

Ovviamente, lo schema sembra essere molto solido. Anche perché il phishing – come abbiamo spiegato in un nostro precedente approfondimento – viene definito così (secondo il vocabolario dell’Enciclopedia Treccani): «Nel linguaggio di Internet, il tentativo di impadronirsi illegalmente dei dati personali di un utente, e di altre utili informazioni (numeri di conto corrente e di carta di credito, codici di sicurezza per l’accesso a banche dati, ecc.), generalmente al fine di derubarlo». Il tutto avviene attraverso una comunicazione mail che riporta il logo di un’azienda o di un portale molto noto. Ma cliccando all’interno dei link inseriti in quelle e-mail, l’utente viene rimandato su siti “civetta” che sembrano ricalcare quelli ufficiali. Ed è lì che avviene il furto dei dati personali per l’accesso alle piattaforme (anche di pagamento o bancarie).

Dunque, stando alla dinamica tecnica del funzionamento di Google Passkey, sarà impossibile cadere nelle trame del phishing online. Perché questo sistema si basa su una chiave crittografata pubblica (all’interno dei siti ai quali si è iscritti) e una privata conservata esclusivamente sul proprio dispositivo. E i server dei siti civetta, essendo falsi, non potranno mai avere una chiave pubblica. Dunque, il “match” non potrà mai avvenire. Dunque, come già accaduto in passato con Apple, è giusto dire che con sistemi passkey (o passwordless, basati sull’accesso tramite riconoscimento biometrico digitale o visivo) si possono debellare gli effetti del phishing. Questo, però, non ci protegge dalle mail “truffaldine” che continueremo a ricevere. Comunicazioni che, però, non avranno effetti. Ma per ogni truffa evitata, occorre accendere una lampadina su altro: la persistenza in un unico device di tutti gli accessi attraverso un unico dispositivo potrebbe spingere i malintenzionati ad aumentare gli attacchi malware, atti a “prendere possesso” di quegli stessi dispositivi. Dunque, il prossimi step sarà la protezione da questo tipo di offensive.