Google ha introdotto di recente una novità mirata all’abbandono delle password come mezzo di autenticazione per l’accesso ai propri account. Essa prende il nome di Passkey e la sua adozione è ormai sempre più diffusa, tanto che altre grandi aziende come Apple e Microsoft hanno deciso di introdurle come alternative ai sistemi di login tradizionali.
Basate sullo standard WebAuthn, le Passkey sono dei dispositivi crittografici composti da coppie di chiavi, una pubblica e una privata. La prima è memorizzata in un sito Internet o in un’applicazione. La seconda è appunto privata, viene registrata esclusivamente nel device dell’utilizzatore, non è nota a nessuno e per questa ragione non può essere condivisa con altri.
La maggiore sicurezza rispetto alle password risiede innanzitutto nel fatto che la chiave privata non è recuperabile, neanche attaccando i server del gestore di un servizio, e in secondo luogo perché un utente malintenzionato si trova sempre nella situazione in cui si trova chiunque altro. Dispone infatti soltanto dell’accesso alla chiave pubblica.
Utilizzare le Passkey risulta tra l’altro più semplice di quello delle password. Non vi è infatti alcuna necessità di ricordare o archiviare decine e decine di credenziali complesse per altrettante piattaforme, per autenticarsi basta utilizzare il sistema di sblocco già adottato per il proprio device come per esempio il riconoscimento facciale, l’impronta digitale, un PIN o un token.
Il sistema delle Passkey dovrebbe sostituire anche quello basato sull’invio di codici tramite SMS a patto non non si condivida il proprio dispositivo. I "messaggini" sono infatti esposti a rischi legati alla tecnica dello SIM Swap, con cui un attaccante riesce ad impossessarsi del recapito telefonico mobile della vittima e quindi ad accedere illecitamente a tutti i servizi su cui è stato registrato.