Scienze e Tecnologia

PassKey, le password hanno i giorni contati: cosa cambia

Google si accoda ad Apple per mandare in soffitta le password come le conosciamo oggi. PassKey è il nuovo paradigma di autenticazione e la storia recente dimostra che ce n’è bisogno

PassKey, le password hanno i giorni contati: cosa cambia

Apple aveva introdotto l’argomento PassKey a giugno del 2022, durante la tradizionale Worldwide Developers Conference (Wwdc) che organizza ogni anno per presentare le novità agli sviluppatori. Google ne ha parlato nuovamente lo scorso 12 ottobre, annunciandone l’integrazione in Chrome e sui dispositivi Android.

Mentre Apple sta già rendendo disponibile PassKey, Google intende allinearsi entro la fine dell’anno in corso.

Scopo di questa tecnologia è quello di coinvolgere il meno possibile l’utente nella generazione di password e nella procedura di accesso a siti web e risorse, aumentandone nel medesimo tempo la sicurezza.

Come funziona PassKey

Senza scomodare tecnicismi di difficile interpretazione per i non addetti ai lavori, PassKey crea quelle che possiamo definire password composte da due parti, una detta chiave privata e l’altra chiave pubblica. Per accedere a un sito o a un servizio sarà necessario fornire entrambe le chiavi. Quella privata rimane sul dispositivo che l’ha generata, quindi uno smartphone o un computer, e non viene condivisa in nessun caso. Quella pubblica rimane invece registrata nel sito o nel servizio a cui l’utente accede. La chiave privata viene associata a quella pubblica mediante l’identificazione dell’utente, che può avvenire mediante il riconoscimento del volto, dell’impronta digitale ma anche con supporti di altra natura, come dispositivo indossabile, la pressione di una combinazione di tasti oppure la voce.

L’accesso al sito sarà completato soltanto con la combinazione corretta di entrambe le chiavi. In tutto questo l’utente è soltanto in parte coinvolto, non essendo chiamato a ricordare e digitare password.

Apple da una parte e Google dall’altra (e, in futuro, chiunque altro dovesse implementare un sistema simile) garantiscono la possibilità di conservare sui dispositivi le chiavi private e di poterle recuperare nel caso in cui fosse necessario cambiarli. Apple usa un sistema di conservazione delle chiavi chiamato iCloud Keychain che fa leva sulla crittografia end-to-end ovvero, in parole semplici, un metodo di protezione che rende impossibile anche alla stessa Apple conoscere la chiave.

Google sfrutta invece il gestore Google Password Manager che segue le stesse logiche. Dal canto loro, chi sviluppa siti e servizi online può integrare questa modalità di accesso per garantire la massima sicurezza ai rispettivi utenti.

La fragilità delle password

Troppo corte, ripetitive o facilmente ricostruibili, soprattutto se si è soliti crearne con le date di nascita di persone care o con il nome di un parente o un animale domestico. L’amore tra gli utenti e le password non è mai sbocciato considerando che, ancora nel corso del 2022, tra le password più diffuse figurano “123456”, “password” e “iloveyou”.

Un po’ per pigrizia e un po’ per scarsa conoscenza degli strumenti digitali, gli utenti cedono ai pericoli della rete, basti pensare che usare sempre la stessa password permette a chi ne venisse in possesso di accedere a diversi siti a cui il malcapitato è iscritto.

Con PassKey non esistono due password identiche, perché la combinazione delle due chiavi restituisce sempre un risultato diverso e, non di meno, le tecniche di phishing per entrare in possesso della password della vittima designata perdono ogni efficacia.

Commenti