Passkey: cos'è e come Google inizia a supportarla

Un obiettivo di tutti i principali big player consiste nel rendere più semplice l’accesso autenticato a servizi e applicazioni. Ciò che si vuole fare è mettere da parte l’utilizzo delle password che sono complesse e scomode da ricordare.

È nata così l’idea delle passkey, un sistema che sblocca l’accesso utilizzando una coppia di chiavi crittografiche (crittografia asimmetrica o a chiave pubblica) a loro volta collegate direttamente con l’account utente. Con le passkey il dispositivo mobile diventa lo “strumento principe” per autorizzare un accesso: al momento del login basta confermare sul device l’impronta digitale, effettuare il riconoscimento facciale o inserire il PIN corretto. Così facendo, l’accesso avviene automaticamente senza digitare alcuna password.

A ottobre 2022 Google spiegava che il supporto per le passkey era in corso d’integrazione nei Play Services di Android e che può essere attivato dagli sviluppatori su Chrome, su Android e su altre piattaforme ricorrendo all’API WebAuthn o Web Authentication.

Lo standard WebAuthn è stato messo a punto dalla FIDO Alliance, un’associazione di settore dalla struttura aperta e dal World Wide Web Consortium (W3C), da sempre impegnato nello sviluppo di soluzioni innovative per il Web.

Gli utenti possono creare passkey sul proprio dispositivo Android e sincronizzarle sugli altri device grazie a Google Password Manager. In questo modo, anche se uno smartphone dovesse improvvisamente rompersi o lo si perdesse, è possibile effettuare il login con il proprio account Google e utilizzare comunque la passkey.

Per accedere da PC diventa sufficiente inquadrare un apposito codice QR con lo smartphone quindi confermare l’accesso dal dispositivo mobile in modo da usare la passkey.

Poiché le chiavi di accesso utilizzano standard del settore, le passkey funzionano su piattaforme e browser diversi, inclusi Windows, macOS, iOS e Chrome OS garantendo inoltre un’esperienza utente coerente.

Il meccanismo di crittografia asimmetrica o a chiave pubblica alla base del funzionamento delle passkey permette di accertare efficacemente l’identità dell’utente.
Il sito Web o l’app possono vedere e archiviare la chiave pubblica degli utenti mentre la corrispondente chiave privata resta segreta e conservata in sicurezza nel singolo dispositivo.

Inoltre, a differenza delle classiche password, le passkey sono complesse e univoche per impostazione predefinita: sono generate e archiviate sui dispositivi dell’utente e non vengono mai condivise con alcun servizio cloud. Tramonta così anche la necessità di cambiare password.

Google informa gli utenti circa la possibilità di attivare l’uso delle passkey

Non è un caso: a ridosso del World Password Day 2023, Google ha inviato una comunicazione ai possessori di account utente spiegando che è prevista la possibilità di attivare e usare le passkey.

“Il supporto per le passkey viene integrato negli account Google perché le passkey sono più facili da usare e più sicure rispetto alla maggior parte delle altre forme di verifica in due passaggi. Questo metodo di autenticazione funziona su tutti i dispositivi che hanno registrato le passkey, compresi tutti i telefoni Android sui quali si è effettuato l’accesso“, osserva Google.

Per attivare l’utilizzo delle passkey basta visitare la pagina Passkey di Google quindi fare clic sul pulsante Usa passkey.

Le passkey sono collegate a ciascun dispositivo (computer, tablet o smartphone) attraverso il quale sono state abbinate all’account Google e funzionano tramite sblocco tramite PIN o dati biometrici di blocco dello schermo (impronte digitali o identificazione del volto).

Effettuata la procedura di attivazione della passkey, l’opzione “Salta la password quando è possibile” risulterà automaticamente abilitata per l’account Google in uso.

Gli unici dati condivisi con Google affinché l’accesso tramite passkey funzioni sono la chiave pubblica e la firma: nessuno dei due contiene o è correlabile con i dati biometrici del singolo utente.