Addio alle password anche sugli account Google: come funzionano le passkey e come abilitarle

Google ha annunciato che l'accesso via passkey è adesso disponibile su tutti gli account Google (non ancora sugli account Workspace). Ecco come funzionano e come abilitarle sui propri dispositivi compatibili

di Nino Grasso pubblicata il 03 Maggio 2023, alle 17:27 nel canale Web
Google

La Grande G ha appena fatto un ampio passo verso un futuro senza password per gli account Google. L'azienda ha infatti annunciato che sono disponibili già da subito su tutte le principali piattaforme le "passkey", una nuova soluzione crittografica che consente di garantire l'accesso all'account attraverso un dispositivo preautenticato.

Gli utenti interessati possono passare sin da subito alle passkey, abbandonando così la propria password o il processo di verifica a 2 step. Google spiega così la funzionalità:

"Le passkey ti permettono di accedere in sicurezza al tuo Account Google usando la tua impronta, il tuo volto, il blocco schermo o il token di sicurezza hardware".

Cosa sono le passkey, alternative alle password per gli account Google?

Le passkey rappresentano un'alternativa più sicura alle password tradizionali, e sono già state prese in considerazione anche da altre società, come ad esempio Microsoft, in conformità con quanto definito dalla FIDO Alliance. Possono sostituire diversi sistemi di log-in, come la verifica 2FA o via SMS, utilizzando per l'accesso un PIN locale o un dispositivo di autenticazione biometrica (sensore di impronte o Face ID). La sicurezza delle passkey sta nel fatto che tutti i dati biometrici e le stesse passkey rimangono in locale e non vengono condivisi con il fornitore del servizio legato all'account (in questo caso Google). Questo garantisce un ulteriore strato di sicurezza, visto che la passkey è legata al dispositivo e non c'è una password che un attore malevolo può rubare attaverso attacchi mirati (ad esempio di phishing).

Cosa sono le passkey, alternative alle password per gli account Google?

Quando viene aggiunta una passkey a un account Google la piattaforma inizierà a richiedere l'autenticazione ogni volta che si eseguirà l'accesso allo stesso account, o quando verranno rilevate attività potenzialmente sospette. Le passkey possono essere memorizzate su tutti i dispositivi compatibili (qui la lista completa), come ad esempio gli iPhone con iOS 16 o i dispositivi Android 9 o successivi, e potranno essere condivise attraverso iCloud o password manager come Dashlane e 1Password (il supporto arriverà a breve). Google dà anche la possibilità di accedere all'account Google attraverso dispositivi non di proprietà, utilizzando un'opzione apposita che consente di creare un accesso una tantum senza trasferire la password su dispositivi sconosciuti.

Le passkey possono anche essere revocate velocemente attraverso le impostazioni dell'account Google, ad esempio se si perde il dispositivo legato alla passkey o se si sospetta che l'account sia stato rubato.

È probabile che il processo di adozione delle passkey non sarà rapidissimo, ed è per questo che Google supporterà ancora per diverso tempo i metodi di autenticazione tradizionali. Gli utenti che non hanno a disposizione prodotti con sensori biometrici integrati non sono ovviamente obbligati a cambiare hardware per accedere al proprio account Google. Come molte altre aziende, però, anche la Grande G si sta preparando a un futuro "passwordless", incoraggiando gli utenti con hardware più aggiornato a compiere il cambiamento già da adesso.

Google ha implementato lo scorso dicembre su Chrome il supporto alle passkey, tuttavia l'adozione da parte dei servizi non è stata eclatante. Il futuro passwordless, insomma, non è ancora molto vicino nonostante gli indiscutibili vantaggi in termini di sicurezza, privacy e protezione. E, ulteriore vantaggio non da poco, con le passkey gli utenti non avranno più bisogno di ricordarsi una password diversa per ogni servizio.

Come abilitare le passkey sul proprio account Google

Per attivare l'autenticazione via passkey sul proprio account Google è sufficiente accedere a questo indirizzo con un browser web, dopo aver eseguito il log-in. Google mostra inoltre un avviso che consente l'abilitazione della funzione quando viene rilevato l'accesso su un dispositivo compatibile, quindi il processo di creazione della passkey per i vari dispositivi in possesso dovrebbe avvenire in maniera quasi automatica, con un numero di interazioni ben ridotto da parte dell'utente. Accedendo alla pagina è possibile creare nuove passkey per il dispositivo in uso, in modo da non dover più inserire la password del proprio account con lo stesso.

Nel post ufficiale Google ha inoltre indicato che la funzionalità non è ancora disponibile per gli account Google Workspace, ma gli admin avranno "presto" la possibilità di abilitare le passkey sui client gestiti durante il log-in.

I migliori sconti su Amazon oggi

-21%

CMF Phone 1 8+128GB - Smartphone con fotocamera posteriore Sony da 50 MP con Ultra XDR, Display Super AMOLED da 6,67 pollici e Nothing OS 2.6, Nero, Non supporta eSIM

239.00 189.00€ Compra ora

-18%

Apple iPhone 16 128 GB: Telefono 5G con Controllo fotocamera, chip A18 e tanta autonomia in più. Compatibile con AirPods; bianco

979.00 799.00€ Compra ora

-42%

Cecotec Friggitrice ad Aria Senza Olio Cecofry Fantastik 5500 da 5,5 L. 1500W, Tecnologia PerfectCook, 9 modalità di cottura, Touch, Regolabile 80-200°C, Cottura fino a 60 minuti

76.90 44.90€ Compra ora

Xbox Games Showcase e Starfield Direct: ufficiale il doppio evento di Microsoft

Anche Toyota sta costruendo auto con pannelli solari integrati nella carrozzeria

Hiei360003 Maggio 2023, 19:58 #1

No grazie.

Se mi si rompe il "coso" hardware che faccio? perdo l'accesso all'account forever? mi devo comprare multipli "cosi" hardware nel caso uno si rompa? e se ci fossero altri sistemi per recuperare l'accesso in quel caso, cosa impedisce ai malintenzionati di usare i suddetti sistemi per bypassare la protezione? e se qualcuno mi frega il "coso" hardware che faccio? mi attacco la tram? almeno una password se sono in grado la posso memorizzare e nessuno me la può rubare facilmente da dentro la mia testa

Silent Bob03 Maggio 2023, 20:11 #2

Anche io passo per il medesimo motivo. Anche se ho un amico che già fa una cosa del genere sul suo telefono e non gli ho voluto fare apposta la medesima domanda, se ti si sfancula il telefono, che fai?

david-103 Maggio 2023, 20:19 #3

Originariamente inviato da: Silent Bob

Credo che tu possa comunque entrare "alla vecchia" o avere un dispositivo di backup... credo... sentiamo qualcuno che sa più di me

h.rorschach03 Maggio 2023, 20:23 #4

Se si rompe / perde / ruba il dispositivo hardware è normale perdere accesso all'account: è il suo scopo. Per recuperarlo esistono una serie di codici monouso che vengono allocati all'abilitazione del fattore di autenticazione hardware. Codici che in teoria andrebbero tenuti in posti sicuri ed utilizzati solo per recuperare un account con un hardware token compromesso, insieme ad altri dati personali.

La domanda ovvia è: "ma se bastano questi codici per recuperare un account, in che modo questo è più sicuro di una password?"

La risposta è: i codici necessitano di altri dati di autenticazione (ad esempio un link da cliccare inviato alla casella di posta) e sono estremamente complessi (non indovinabili come purtroppo troppe password possono esserlo)

lollo903 Maggio 2023, 20:30 #5

Originariamente inviato da: Hiei3600

no ma tranquillo proprio, gli esperti di sicurezza sono solo una manica d'incompetenti a consigliare i sistemi passwordless

il "coso" è semplicemente uno dei tuoi possibili dispositivi con autenticazione biometrica.
un PC con windows hello, praticamente ogni smartphone, un dongle dedicato (decisamente poco comodo), un'app di autenticazione (poco comoda), un Mac con l'autenticazione biometrica ecc.

se si rompe, hai le one time password, vengono generate, te le salvi offline e sono un passe-partout universale come ci sono già oggi per recuperare gli authenticator perduti, gli account dropbox/steam/banca/gmail ecc.

se uno non ne ha generate, se uno le ha perdute ecc. è esattamente nella stessa medesima situazione di oggi quando uno dimentica la password senza possibilità di recupero.
la password paypal ad esempio, se uno ha gli account "nativi" (cioè non "login with google" e simili), ti tocca scrivergli, inviargli un documento di identità e tutta la trafila. e forse ti sbloccano l'account. forse.

i sistemi passwordless li hanno inventati perché per non diventare matti sempre più servizi si appoggiano ad altri servizi terzi per l'autenticazione ed autorizzazione (google, facebook e microsoft su tutti). e più che lo si fa, più aumenta il rischio.
passando da un'autenticazione biometrica si toglie un bel pezzo dalla superficie attaccabile: le password sotto sotto esistono sempre ma non si conoscono. è meglio per tutti.
immagina oggi usare l'account google per accedere a 350 servizi, se ti ciulano quello è finita. qui giocano la partica i sistemi passwordless.

c'è una letteratura ormai molto corposa a riguardo.

la scocciatura potenziale c'è, ed è il recupero password "ordinario".
intendo dire, oggi giorno uno dimentica una pass qualunque non di account troppo "vitali", ad esempio quella di hwupgrade. clicchi sul form, ti inviano un link per resettarla al volo, ne setti una nuova e buonanotte.
ecco, queste cose sono assolutamente fattibili in scenari passwordless, MA:
1 - qualcuno la implementerà MALE. sicuro.
2 - se il "coso" non è disponibile, rischia di essere un po' macchinosa.

non so in italia, ma qua (Francia ed Australia) sostanzialmente le banche già usano questi sistemi per validare le operazioni. compri qualcosa, ti arriva la notifica sull'app sul telefono, validi l'operazione ed il flusso prosegue.
i sistemi passwordless sono quello, esteso solo a più cose

Silent Bob03 Maggio 2023, 20:32 #6

Originariamente inviato da: david-1

Credo che tu possa comunque entrare "alla vecchia" o avere un dispositivo di backup... credo... sentiamo qualcuno che sa più di me

Sì, ma il senso del mio post è porre una domanda del genere a qualcuno che non c'ha pensato, come mi è capitato in quel momento, ed infatti poi ho lasciato stare.

biometallo03 Maggio 2023, 20:39 #7

Originariamente inviato da: Hiei3600

No grazie.

Se mi si rompe il "coso" hardware che faccio?

Ne accenna anche l'articolo stesso:

Le passkey possono anche essere revocate velocemente attraverso le impostazioni dell'account Google, ad esempio se si perde il dispositivo legato alla passkey o se si sospetta che l'account sia stato rubato.

Se ho capito bene funziona come l'autentificazione a due fattori, cioè entra in gioco solo quando ci si connette da un dispositivo sconosciuto, ma finché si usa uno già registrato, il proprio smartphone, il proprio pc di casa ecc... ci si connette come prima

marcram03 Maggio 2023, 21:31 #8

Ragazzi, sono semplicemente delle chiavi private, stoccate in una specie di password manager, che, a differenza delle password normali, non escono mai dal password manager.
Basta fare un backup delle chiavi e, anche se ti si rompe il dispositivo di autenticazione, recuperi le chiavi dal backup.

Il problema, semmai, è che l'utente comune non è in grado di farsi il backup, quindi Google propone un sistema automatizzato in cui lui, nella sua infinita bontà, conserva sui suoi server il backup delle chiavi private con cui tu accedi a tutti i servizi a cui ti sei registrato...

Hiei360003 Maggio 2023, 22:12 #9