Quali sono i rischi per la generazione di password come Google Passkey

La fine dell’era delle password – a cui si ambisce attraverso l’utilizzo di sistemi come Google Passkey – non coinciderà, purtroppo, con la fine dei problemi di sicurezza dei dispositivi e delle piattaforme che queste stesse password cercano di proteggere. Il sistema passkey – che non renderà più necessaria la memorizzazione di una stringa alfanumerica per chiudere a chiave i propri dispositivi, ma punterà tutto sul riconoscimento biometrico e sulle impronte digitali – resta comunque vulnerabile, soprattutto se si prendono in considerazione due aspetti: il furto fisico dei dispositivi e l’alto livello di complessità di alcuni malware che riescono ad agire sui dispositivi stessi senza che l’utente se ne accorga o esegua azioni materiali.

LEGGI ANCHE > Come Google Passkey cercherà di stravolgere il modo di gestire le password

Rischi di Google Passkey, dal furto agli attacchi zero-click

Abbiamo già spiegato abbondantemente come funziona Google Passkey, ed è evidente da questa spiegazione che tutti gli accessi alle varie piattaforme (che sono protetti dall’utente) vengono gestiti da un’unica chiave d’accesso, che è stata impostata sul dispositivo. Quest’ultima – come ricordavamo – può essere costituita da un elemento biometrico (dal riconoscimento facciale all’impronta digitale). Insomma, per cercare di spiegarlo in parole povere, tutti i portoni si aprono con un’unica chiave – sebbene estremamente sicura – che, tuttavia, è conservata all’interno di un singolo cofanetto, il dispositivo principale dell’utente.

Proprio a partire da questo assunto, è facile immaginare che se questo singolo dispositivo viene compromesso o sottratto, il rischio per tutte le piattaforme protette dalla passkey è quello di essere violate. Tuttavia, nonostante questo inconveniente, Google Passkey ha previsto una soluzione immediata che punta ad alzare ancor di più le barriere di protezione: se si imposta la passkey anche su un altro dispositivo, è possibile che – nel caso di furto o compromissione del dispositivo principale – si possa cancellare la chiave utilizzata per sbloccare l’accesso alle varie piattaforme e reimpostarla. Mettendosi, così, al riparo da qualsiasi situazione spiacevole.

La questione degli attacchi zero-click

Un rischio che, invece, non si può sottovalutare (e che vale anche per questo tipo di situazioni) è quello degli attacchi zero-click. Si tratta di forme sempre più sofisticate di malware o di spyware, che non necessitano di alcuna azione da parte dell’utente che viene attaccato. Non serve scaricare allegati sospetti oppure cliccare su link di dubbia provenienza: il malware, da remoto, riesce a prendere il controllo del dispositivo e di effettuare, da remoto, delle operazioni al posto del titolare dell’utenza.

Si tratta di sfruttare delle vulnerabilità che non sono conosciute e che, pertanto, possono anche determinare diverse tipologie di attacco a seconda di chi lo porta a termine. Insomma, se è vero che eliminare le password può comportare un significativo miglioramento nell’esperienza dell’utente, è altrettanto vero che una innovazione del genere non metterà comunque al riparo da tutti i rischi.