Le passkey sono una sostituzione più semplice e sicura delle password. Con le passkey, gli utenti possono accedere ad app e siti web con un sensore biometrico (ad esempio un’impronta o un riconoscimento facciale), un PIN o una sequenza, evitando così di dover ricordare e gestire le password.
Una passkey può sostituire una password e un secondo fattore in un solo passaggio. L’esperienza utente può essere semplice quanto la compilazione automatica di un modulo password. Le password offrono una protezione efficace dagli attacchi di phishing, a differenza degli SMS o delle password uniche basate su app. Poiché le password sono standardizzate, una singola implementazione consente un’esperienza senza password su diversi browser e sistemi operativi.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Considerazioni sulla privacy
- Alcuni utenti potrebbero rimanere sorpresi se improvvisamente viene visualizzata un’autenticazione biometrica su un sito web o in un’app e pensano che questo stia inviando informazioni sensibili al server. Con le passkey, le informazioni biometriche dell’utente non vengono mai rivelate sul sito web o nell’app. Il materiale biometrico non lascia mai il dispositivo personale dell’utente.
- Le passkey in modo autonomo non consentono di monitorare gli utenti o i dispositivi tra siti. La stessa passkey non viene mai utilizzata con più di un sito. I protocolli passkey sono progettati con attenzione in modo che nessuna informazione condivisa con i siti possa essere utilizzata come vettore di monitoraggio.
- I gestori di password proteggono le password da accessi e utilizzi non autorizzati. Ad esempio, Gestore delle password di Google cripta i secret con password end-to-end. Solo l’utente può accedervi e utilizzarlo. Anche se ha eseguito il backup sui server di Google, Google non può utilizzarle per impersonare gli utenti.
Considerazioni sulla sicurezza
- Le passkey utilizzano la crittografia delle chiavi pubbliche. La crittografia delle chiavi pubbliche riduce la minaccia di potenziali violazioni dei dati. Quando un utente crea una passkey con un sito o un’applicazione, viene generata una coppia di chiavi pubblica-privata sul dispositivo dell’utente. Solo la chiave pubblica è archiviata dal sito, ma questa da sola non è utile per un utente malintenzionato. Un utente malintenzionato non può ricavare la chiave privata dell’utente dai dati archiviati sul server, necessario per completare l’autenticazione.
- Poiché le passkey sono associate all’identità di un sito web o di un’app, sono protette dagli attacchi di phishing. Il browser e il sistema operativo garantiscono che una password possa essere utilizzata solo con il sito web o l’app che le ha create. Ciò evita che gli utenti siano responsabili dell’accesso al sito web o all’app originali.
Come i primi utenti, i membri di Google Play Services Beta e Chrome Canary ora hanno accesso alla funzionalità passkey, secondo un post sul blog degli sviluppatori Android . La funzione, che verrà implementata a tutti gli utenti “entro la fine dell’anno”, inserirà automaticamente le password salvate quando le credenziali di un utente verranno verificate.
Questo lancio beta abilita due funzionalità , una per gli utenti e una per gli sviluppatori:
- Gli utenti possono creare e utilizzare passkey su dispositivi Android,  sincronizzati in modo sicuro tramite Google Password Manager .
- Gli sviluppatori possono  creare il supporto per passkey  sul Web con Chrome, tramite l’API WebAuthn, su Android e altre piattaforme.
Le chiavi di accesso offrono misure di sicurezza più solide, migliori esperienze utente
Funzionando come un gestore di password, le passkey abilitano la compilazione automatica del modulo password una volta sbloccato un dispositivo utilizzando dati biometrici come riconoscimento facciale o impronte digitali, PIN o sequenza. Ciò offre un significativo aggiornamento della sicurezza rispetto agli SMS tradizionali, alle password monouso basate su app o alle approvazioni push.
“Le chiavi di accesso sono un’alternativa più sicura e protetta alle password. Sostituiscono anche la necessità dei tradizionali metodi di autenticazione del secondo fattore”, ha affermato Google in un blog sulla sicurezza all’inizio di questa settimana. “Le passkey utilizzano la crittografia a chiave pubblica in modo che le violazioni dei dati dei fornitori di servizi non comportino una compromissione degli account protetti da passkey e si basano su API e protocolli standard del settore per garantire che non siano soggetti ad attacchi di phishing”.
Per creare una passkey su un dispositivo Android, gli utenti dovranno confermare che desiderano crearne una e autenticarsi con il proprio metodo di accesso. Le passkey vengono gestite tramite Google Password Manager, dove verrà automaticamente eseguito il backup sul cloud per evitare blocchi in caso di smarrimento dei dispositivi.
I giganti della tecnologia che lavorano insieme su Passkey Standard
Le passkey hanno ricevuto il supporto a livello di settore e all’inizio di quest’anno Microsoft, Apple e Google hanno annunciato il supporto esteso per lo standard Fast Identity Online (FIDO).
“Oltre a facilitare una migliore esperienza utente, l’ampio supporto di questo approccio basato su standard consentirà ai fornitori di servizi di offrire credenziali FIDO senza bisogno di password come metodo alternativo di accesso o di recupero dell’account”, hanno affermato i tre fornitori di tecnologia in un congiunto comunicato stampa con FIDO Alliance all’inizio di quest’anno.
Intermezzo promozionale ... continua la lettura dopo il box:
API nativa per Android in arrivo entro la fine dell’anno
“La nostra prossima pietra miliare nel 2022 sarà un’API per app Android native”, ha affermato Google nel blog degli sviluppatori. “Le chiavi di accesso create tramite l’API Web funzioneranno perfettamente con le app affiliate allo stesso dominio e viceversa.”
L’API nativa consentirà agli utenti di scegliere di utilizzare una passkey o la password salvata. Utilizzando un’esperienza utente familiare, l’obiettivo è aiutare gli utenti e gli sviluppatori a passare senza problemi alle passkey.
Fonte : https://www.searchenginejournal.com/ e https://developers.google.com/identity/passkeys
