Google ha iniziato a introdurre il supporto alle passkey su Android e Chrome seguendo il sentiero segnato dall’accordo preso con Apple e Microsoft nel maggio scorso per sostituire l’uso delle password nel mondo consumer dei dispositivi, dei servizi web e delle app.
Si tratta del sistema accettato unilateralmente anche da Apple e Microsoft nel contesto della Fido Alliance, con cui si mira a far sparire l’uso delle password alfanumeriche.
Nel senso più largo del termine la passkey è impossibile da “copiare” perché, a differenza della password, non è una semplice stringa di caratteri che può essere persa o sottratta e quindi riutilizzata, ma è determinata da una chiave pubblica (una lunghissima stringa di caratteri) presente sul dominio presso il quale risiede l’account dell’utente e di una chiave privata che risiede nel dispositivo dell’utente.
La chiave pubblica è generata da quella privata e può dare l’accesso solo se quest’ultima viene riconosciuta; ecco perché il suo essere pubblica non limita la protezione del sistema di autenticazione. Le passkey private vengono poi sincronizzate tra i dispositivi dell’utente usando gli ambienti cloud, nel caso di Apple il Portachiavi iCloud, e di Google dal Gestore delle password.
Una volta abilitato, Passkey permetterà a sviluppatori di app e gestori di siti web di accettare l’autenticazione degli utenti sfruttando le misure già usate per il loro smartphone, come le impronte digitali, il riconoscimento del volto o un codice temporaneo da riprendere con la fotocamera del telefonino, nel caso l’accesso stia avvenendo via computer.
L’obiettivo, vista la presenza di altri colossi del tech nella Fido Alliance, è rendere Passkey globale, ossia un mezzo per accedere in maniera sicura a tutti i servizi delle aziende partecipanti, per navigare sul web, pagare e molto altro.
“Le chiavi di accesso sono un sostituto significativamente più sicuro delle password e di altri fattori di autenticazione di phishing” osserva Google. “Non possono essere riutilizzate, non trapelano in caso di violazioni e proteggono gli utenti dagli attacchi di phishing”.
Le credenziali biometriche vengono salvate sull’app Google Password Manager, dove verrà automaticamente eseguito il backup sul cloud per evitare blocchi in caso di smarrimento del dispositivo.