Le password sono necessarie per evitare accessi indesiderati da terze persone e tenere al sicuro i propri account e servizi. Fino a questo momento, il modo più sicuro per proteggere un account era associare una password con l’autorizzazione a due fattori (2FA). L’autorizzazione a due fattori si basa su due elementi, ad esempio la password e numero di telefono. Ma ora Google offre un’altra scelta: utilizzare una passkey, una credenziale sicura legata al PIN o all’autenticazione biometrica già utilizzata dal dispositivo. La passkey esiste solo nel proprio dispositivo, non nel cloud, rendendo così l’account meno violabile.
Cos’è una passkey e come crearla
Una passkey è una credenziale digitale, legata a un account a un sito o un’applicazione. Le passkey permettono di autenticarsi senza dover inserire un nome utente, una password o fornire un ulteriore fattore di autenticazione. Per creare una passkey, è necessario un hardware compatibile con i requisiti minimi di sistema, che sono:
- Windows 10
- MacOS
- Chrome 109
- Safari 16
- Edge 109 e superiori
Per i cellulari e tablet:
- iOS 16
- Android 9 e superiori
Le passkey si basano sullo standard WebAuthn, che è supportato dai principali browser e sistemi operativi. WebAuthn è un protocollo che consente di creare e verificare credenziali basate su crittografia asimmetrica, cioè su una coppia di chiavi: una pubblica e una privata.
La chiave pubblica viene registrata sul server del sito o dell’applicazione a cui si vuole accedere, mentre la chiave privata viene memorizzata sul dispositivo dell’utente in modo sicuro e non condivisibile. Per autenticarsi, l’utente deve dimostrare di possedere la chiave privata corrispondente alla chiave pubblica registrata sul server.
La chiave privata può essere sbloccata tramite un metodo di verifica biometrico (come il riconoscimento del viso o delle impronte digitali) o tramite un token di sicurezza hardware (come una chiave USB o una smart card). In questo modo, l’utente non deve ricordare o digitare alcuna password, ma solo usare il suo dispositivo o il suo token per accedere.
Come creare un account passkey
Per usare le passkey, è necessario un dispositivo compatibile e un account Google. Ecco i passaggi da seguire per crearne una:
- Accedere al proprio account Google e andare alla sezione Sicurezza;
- Selezionare la voce Passkey e attivare l’opzione Usa il tuo telefono per accedere;
- Seguire le istruzioni per abilitare la verifica in due passaggi e scegliere il metodo preferito (PIN, biometria o token);
- Andare al sito web o all’app che supporta le passkey e scegliere l’opzione Accedi con Google;
- Selezionare l’account Google associato alla passkey e toccare il dispositivo o il token per confermare l’accesso.
Per creare una passkey per un account su iPhone. Attivare il portachiavi iCloud e l’autenticazione a due fattori sul ID Apple. Poi seguire questi passaggi:
- Per un nuovo account: andare alla schermata di registrazione del sito web o dell’app e inserire un nome account;
- Per un account esistente: accedere con la propria password e andare nella schermata di gestione dell’account;
- Salvare una passkey per l’account, toccare Continua.
La passkey è stata creata e salvata sull’iPhone e sul portachiavi iCloud.
Per installarla andare su g.co/passkeys effettuare l’accesso selezionando il pulsante Crea una passkey nella parte inferiore della pagina. Verrà visualizzato un pop-up che consente di utilizzare il dispositivo attuale come passkey o scegliere di selezionare Usa un altro dispositivo. In quest’ultimo caso, verrà fornito un codice QR da scansionare con la fotocamera del telefono.
Per iPhone attivare il portachiavi iCloud.
Come eliminare una passkey o un dispositivo dal tuo account Google
Per rimuovere una Passkey dall’elenco, andare sull’account Google, selezionare Sicurezza nella colonna di sinistra e scorrere verso il basso fino a Come accedi a Google. In Passkey fare X accanto alla passkey da eliminare. Le passkey create automaticamente da Google, non possono essere eliminate, l’unico modo per farlo è disconnettere il dispositivo dall’account.
Per eliminare il dispositivo:
- Selezionare Sicurezza nella colonna di sinistra;
- Scorrere verso il basso e selezionare Gestisci tutti i dispositivi;
- Selezionare il telefono da disconnettere;
- Uscire.
I vantaggi delle passkey
Le passkey promettono di rendere l’autenticazione online più sicura, semplice e privata, in confronto a una classica password questa procedura permette maggiore sicurezza perché sono più difficili da rubare o compromettere, in quanto:
- Sono protette da un livello aggiuntivo di verifica, come il PIN o la biometria;
- Sono comode da usare, basta toccare il dispositivo o il token per accedere in modo rapido e semplice;
- Le passkey non richiedono di fornire informazioni personali, come l’indirizzo email o il numero di telefono per creare o gestire un account;
- Le tracce sul server dei siti o delle app si annullano, riducendo il rischio di violazioni dei dati.