Tag Archivio per: cybersecurity

Passkey: potete dire addio alle password

Dire addio alle password, all’autenticazione in due fattori e a qualsiasi altro sistema complicato per accedere ai propri account. Non è fantascienza, è realtà e si chiama Passkey.

ELIMINIAMO LE PASSWORD

Ciao a tutti e bentornati. Oggi parliamo di Passkey, ovvero dell’ultimo ritrovato tecnologico che ci permetterà di risolvere l’annoso problema legato all’accesso a qualsiasi servizio che richieda una password.

Tutti, ma proprio tutti, abbiamo sicuramente avuto problemi con le credenziali di accesso. Nel peggiore dei casi siamo stati “bucati” da qualche hacker che è riuscito ad entrare nel nostro home banking o peggio ancora, è riuscito ad usare gli accessi dei nostri clienti che avevamo salvato (magari in un file di Excel).

Ma più banalmente, senza pensare ai casi più disperati, ci siamo dimenticati di qualche password e per recuperarla abbiamo intrapreso un calvario infinito ritardando l’utilizzo dei servizi che ci servivano.

Ultima ipotesi, giusto per completare la panoramica sul problema, siamo costretti a salvare centinaia (se non addirittura migliaia di password) tutte diverse e con sistemi che hanno dato fondo alla nostra inventiva.

Piccolo aneddoto tragicomico: le password più utilizzate nel mondo sono “password” e “123456”.Ma oggi non parleremo di come gestire correttamente le password (cosa che faremo in un’altra puntata). Oggi proveremo a guardare ad un futuro completamente privo di password. Un futuro che a ben vedere, è già un presente grazie alle Passkey.

USARE I DISPOSITIVI DI TUTTI I GIORNI COME PASSWORD

Come detto, il sistema di accesso tramite password è farraginoso. Dobbiamo farle difficili, lunghe, tutte diverse, non possiamo salvarle in chiaro, non possiamo scriverle da nessuna parte, ormai sono tantissime e potrei andare avanti all’infinito elencando altre criticità.

Se poi pensiamo all’autenticazione in due fattori, nemmeno in questo caso stiamo parlando di un metodo privo di problemi (anche se comunque è decisamente più sicuro). Ma soprattutto, è un sistema che indubbiamente ha complicato maggiormente le cose.

E fu così che nacque un’alleanza tra le principali aziende tech, chiamata FIDO con il compito di salvare il mondo dall’agonia dell’utilizzo delle password.

Ecco, momento poetico a parte, se ci pensiamo si tratta di un tema veramente trasversale per tutto il mondo: privati, aziende e qualsiasi nazione o etnia, in questo contesto, non fa differenza.

E’ nata quindi l’idea della Passkey, ovvero l’utilizzo del riconoscimento biometrico per accedere a qualsiasi servizio. Ovviamente senza password.

Ascolta “Emanuele Masiero – il podcast” su Spreaker.

COME FUNZIONA PASSKEY SPIEGATO SEMPLICE

Per farla veramente semplice, le Passkey sono costituite da una coppia di chiavi (una pubblica e una privata) che messe insieme assicurano la conformità dell’accesso. La chiave pubblica viene conservata nel server (naturalmente crittata) mentre quella privata è rappresentata dal nostro dispositivo (per esempio il nostro iPhone) che in qualche modo funge da password anche se in effetti una vera password non esiste.All’inizio può sembrare un concetto complesso, snervante o addirittura poco sicuro. La prima domanda che viene da farsi è: “ma quindi con il mio smartphone potrebbe entrare chiunque?”. La risposta è parzialmente si, ma per dare una risposta corretta vediamo insieme le fasi di utilizzo della Passkey e tutto sarà più chiaro.

LE FASI DI UTILIZZO DI PASSKEY

Primo step dobbiamo creare la Passkey. Per farlo basta semplicemente entrare nel sito web del servizio, inserire la nostra mail (che fa da nome utente) e praticamente abbiamo finito. Eh sì… avete capito bene. Non dobbiamo inventare la password.

Secondo step, quando dobbiamo accedere, inseriamo la nostra mail e gli diciamo di accedere con Passkey. Verrà fatto il rilevamento biometrico (impronta o face id) e il gioco è fatto. Basta. Finito.

L’unica variante la troviamo per accedere ad un servizio da un computer che non è il nostro. In questo caso inseriamo la nostra mail, scegliamo l’accesso con Passkey e ci verrà mostrato un qr-code da scansionare nello smartphone dove abbiamo le nostre Passkey. Sblocchiamo con il rilevamento biometrico e il gioco è fatto.

Quindi dove sta la falla?

Chi può sbloccare il nostro smartphone o altro dispositivo dove sono salvate le Passkey, allora può accedere a servizi e siti web.

Ma va detto che si tratta di un’ipotesi assolutamente remota e mille milioni di volte più improbabile rispetto alle tecniche attuali che invece permettono di rubare una password.

Inoltre va considerata l’estrema comodità di non avere per l’appunto, più nessuna password.

LA COMPATIBILITÀ DI PASSKEY

Il mio non è un video tutorial anche perché se ne trovano tantissimi in internet. Però due parole sulla compatibilità le spendo. Per fortuna, nella famosa alleanza citata in partenza, ci sono tutti i big come Apple, Microsoft e Google. Quindi la compatibilità sui dispositivi è già enorme. Tanto per essere chiari, le Passkey funzionano sia su Android che su Apple. Attualmente sono ancora pochissimi i siti e i servizi che permettono di usarle, ma è prevista una diffusione su larghissima scala in breve tempo.

Giusto per dire, possiamo già accedere al nostro account Google tramite Passkey.

LA MIA ESPERIENZA CON PASSKEY

Come sapete sono un gran sostenitore dei “password manager”, ovvero gli applicativi che permettono di salvare in modo sicuro tutte le password. Ma ho voluto provare subito questa nuova tecnologia. Per fare la mia sperimentazione ho scelto di attivare Passkey sul mio account Google privato dove solitamente uso Gmail e Google Drive.

Devo dire che la semplicità è disarmante. Talmente tanto avermi trasmesso qualche istante di spaesamento. Per qualche minuto mi sono fermato a riflettere sulla sicurezza di questa soluzione. Perché il primo pensiero è “cavolo, se non ho scritto una password difficile, sicuramente starò sbagliando qualcosa”.

Giusto per descrivervi la sensazione, ho provato la stessa angoscia del momento in cui i documenti hanno iniziato a salvarsi da soli. Vi ricordate quando bisognava fare file e poi dare il comando salva altrimenti arrivederci a ore e ore di lavoro? Quando improvvisamente con il cloud abbiamo abbandonato questa necessità, abbiamo tutti passato qualche momento di apnea. Poi però ci siamo abituati. E chi tornerebbe indietro?

Ora che per accedere a Google non devo più ricordarmi una password molto difficile (e nemmeno di cambiarla) devo ammettere che ogni volta la mia esclamazione è “finalmente!”.

USA ANCHE TU PASSKEY E FATTI TROVARE PREPARATO

Il mio consiglio finale? Attivate Passkey in qualche servizio dove è già operativa e iniziate ad utilizzarla. Sono convinto che a breve la sua diffusione sarà massiccia per i suoi innumerevoli benefici sotto il profilo della sicurezza e della praticità d’uso.

Trovarsi magari tra un anno e doverla attivare in blocco su tantissimi servizi potrebbe essere traumatico. Se invece si procede progressivamente diventa certamente più facile.

A questo punto soluzioni come 1Password non serviranno più? A mio modo di vedere serviranno ancora. La sicurezza, soprattutto nell’ambito aziendale, non è uno scherzo e va presa con estrema serietà. Proprio 1Password ha infatti annunciato che da giugno daranno il loro supporto alla Passkey.

Resta da capire però, se cambieranno il nome al loro brand o se resteranno fedeli alla parola “password” che per così tanti anni ci ha fatto compagnia nel bene e nel male.

Canale Youtube
Canale Twitch
Canale Telegram
Canale TikTok
Podcast su Spotify