Google inaugura l'era delle passkey: addio password

L’accesso ai propri profili online sta per diventare più semplice, veloce e a prova di smemorato: Google sta introducendo la possibilità di usare l’accesso biometrico al posto delle password per entrare in moltissimi siti, non solo tramite smartphone, ma anche tramite computer. Per la precisione è ora possibile accedere tramite passkey ad alcuni siti partner come Uber, eBay e WhatsApp.

L’accesso avviene tramite “passkey“, l’evoluzione delle password che tutti conosciamo, e già oggi viene utilizzato da molte app per smartphone al posto della vecchia combinazione di nome utente e codice d’accesso. Alla base di questa nuova tecnologia c’è la constatazione, ormai inevitabile, che gli utenti non vogliono impegnarsi per creare (e ricordare) una password complessa.

Come funzionano le passkey

In pratica una passkey è un metodo di autenticazione basato sulla biometria: impronta digitale o scansione del volto, anche se in futuro potrebbero essere inventate passkey basate su altri fattori (come la voce).

La passkey sostituisce sia la password che il nome utente, quindi per accedere al sito/profilo è sufficiente mostrare il volto o mettere il dito sul sensore, nient’altro.

Le passkey di Google vengono collegate al dispositivo con le quali sono state create, ma possono essere usate con tutti i dispositivi registrati nello stesso profilo Google.

Così, ad esempio, se registriamo la una passkey basata su impronta tramite il nostro smartphone e la impostiamo come metodo di accesso ad un sito specifico (ad esempio quello della banca) tramite il computer di casa, poi potremo usare lo smartphone per entrare in quel sito anche se accediamo da un altro computer, senza dover immettere nome e password.

I pro e i contro delle passkey

Il vantaggio più grande per l’utente è la comodità: non c’è niente da ricordare, la passkey è sempre con noi (perché siamo noi stessi). Indirettamente la semplicità e comodità aumenta anche la sicurezza, perché dissuade l’utente dall’uso di password terribili, come le ormai classiche “123456” e “password“.

Le passkey possono essere criptate, proprio come le password, e anche se venissero rubate sono più difficili da utilizzare: l’hacker non ha fisicamente a disposizione il nostro dito da passare su un sensore, quindi dovrebbe utilizzare dell’hardware specifico per inviare la passkey al sito da sbloccare.

Uno svantaggio delle passkey è il fatto che rendono l’utente più tracciabile: se noi accediamo a 10 siti consecutivamente usando combinazioni di nome utente e password diverse, allora in teoria potremmo essere 10 utenti diversi davanti lo stesso computer; ma se usiamo sempre la stessa impronta no, è chiaro che siamo sempre la stessa persona.

Come creare una passkey

Per creare una passkey da usare sul computer, Google impone alcuni requisiti. Serve innanzitutto un laptop o desktop con almeno Windows 10, macOS Ventura o ChromeOS 109.

Per usare lo smartphone come lettore della passkey, invece, serve un dispositivo con almeno iOS 16 o Android 9, blocco dello schermo e Bluetooth (per connettersi al PC, che deve anch’esso avere il Bluetooth).

Serve anche un token di sicurezza hardware che supporti il protocollo FIDO2, integrato nel dispositivo con il quale si fa l’accesso.

Anche il browser Web utilizzato per accedere ai siti sui quali si vuole usare la passkey deve essere compatibile:

• Chrome 109 o versioni successive
• Safari 16 o versioni successive
• Edge 109 o versioni successive

La procedura per creare una passkey è automatizzata e parte dall’indirizzo Web www.google.com/account/about/passkeys, chiaramente dopo essersi autenticati in modo tradizionale.

Per usare su un computer una passkey creata su uno smartphone, la prima volta viene creato un codice QR sullo schermo del PC, che va poi inquadrato con la fotocamera dello smartphone per accoppiare i due dispositivi. Le volte successive non sarà più necessario fare questa procedura.