Google lancia Passkey, un nuovo sistema per accedere agli account senza l’uso di password, allo scopo di contrastare il phishing. Luca Bechelli, Information & Cyber Security Advisor presso P4I (Partners4Innovation), afferma che la direzione è corretta, ma sottolinea che ridurre il phishing non significa eliminare altri rischi cyber, che potrebbero addirittura aumentare.
Passkey combina due chiavi di sicurezza, principalmente basate su dispositivi personali come smartphone, tablet o computer. Utilizza codici crittografici generati in modo univoco su dispositivi singoli, creando wallet protetti da meccanismi di sicurezza biometrici come riconoscimento facciale o impronte digitali. Il sistema Passkey unisce la semplicità delle password con la protezione dell’autenticazione a due fattori. Anche Apple e Microsoft stanno considerando di adottare soluzioni simili.
Una delle due chiavi si associa a un servizio, sito o app esterno, mentre l’altra è scelta dall’utente tra un PIN locale, il riconoscimento biometrico o l’impronta digitale
. Passkey consente l’accesso a dispositivi condivisi tramite un ecosistema, come l’account iCloud di Apple. Le due chiavi vengono generate una sola volta e, per accedere a Google, l’utente deve inserire il PIN locale o utilizzare il riconoscimento biometrico.Bechelli avverte che la sicurezza dei dispositivi fisici diventa cruciale con l’adozione di Passkey. La compromissione di un dispositivo potrebbe portare alla compromissione di tutti gli account protetti da Passkey. In caso di furto o smarrimento del dispositivo, è possibile cancellare le chiavi da remoto, ma è consigliabile stabilire un’opzione secondaria per facilitare il recupero.
Tuttavia, Bechelli mette in guardia sul fatto che il furto o lo smarrimento di dispositivi potrebbe mettere a rischio le credenziali nell’era senza password. Il rischio cyber si sposta dall’utente ai dispositivi, aumentando la diffusione di malware che prendono il controllo dei dispositivi per rubare le credenziali.