Google ha iniziato a distribuire il supporto per le passkey negli account Google su tutte le principali piattaforme, aggiungendo una nuova opzione di accesso che può essere utilizzata insieme alle password e alla verifica in due passaggi. Il gigante tecnologico americano ha annunciato la disponibilità delle passkey proprio alla vigilia della Giornata mondiale della password, cercando di introdurre opzioni di accesso più sicure e affidabili.

Questo lancio arriva sulla scia degli aggiornamenti di Google per portare l’esperienza delle passkey sia su Chrome, sia su Android, nonché del supporto del settore tecnologico per uno standard comune di accesso senza password creato dalla FIDO Alliance e dal World Wide Web Consortium. Le passkey sono una forma di autenticazione senza password che sembra destinata a diventare una parte fondamentale della sicurezza. Rappresentano infatti una base di autenticazione più sicura per la sicurezza aziendale e, sebbene non siano infallibili, sono molto più affidabili delle password per clienti, dipendenti e partner.

Le passkey per gli account Google sono disponibili da subito e possono essere impostate facilmente. Per gli account Google Workspace, gli amministratori avranno presto la possibilità di abilitare le passkey per gli utenti finali durante l’accesso. Le password e l’autenticazione in due passaggi continueranno comunque a funzionare per gli account Google.

L’autenticazione basata su password è un grosso problema di sicurezza per le aziende

L’autenticazione basata su password è uno dei maggiori problemi di sicurezza che le aziende devono affrontare. La scarsa igiene delle password, il riutilizzo, le credenziali deboli e rubate hanno afflitto le organizzazioni per anni, esponendole a minacce e attacchi significativi, come l’acquisizione di account, la violazione dei dati e il furto di identità.

Single Sign-On

Da tempo il settore cerca mezzi di autenticazione alternativi e più sicuri e le passkey sono proprio al centro di questi tentativi, rappresentando un approccio all’autenticazione a più fattori con un’enfasi sul dispositivo come primo fattore. Unendo il dispositivo a un altro fattore, le passkey superano un approccio alla sicurezza in stile “ciò che si conosce” rappresentato dalle password per passare a un approccio “ciò che si possiede e ciò che si conosce”.

Le passkey resistono agli attacchi di phishing, ma non sono infallibili

“A differenza delle password, le passkey sono resistenti agli attacchi online come il phishing, il che le rende più sicure rispetto a codici monouso via SMS”, si legge in un post di Google. Le passkey offrono diversi vantaggi per la sicurezza delle aziende, soprattutto perché sono chiavi crittografiche ed eliminano il problema delle password deboli. Non condividono informazioni vulnerabili, quindi molti vettori di attacco alle password sono eliminati, e sono anche resistenti al phishing e ad altri attacchi di ingegneria sociale. L’infrastruttura della passkey stessa negozia il processo di verifica e non viene ingannata da un buon sito web falso, il che elimina la possibilità di digitare accidentalmente una password nel modulo sbagliato.

Tuttavia, le passkey non sono infallibili. Le preoccupazioni per la sicurezza aziendale includono la garanzia che i dipendenti e altri soggetti seguano le politiche per la sicurezza dei dispositivi utilizzati con le passkey. Inoltre, il loro recupero può essere un problema in caso di smarrimento, furto o distruzione del dispositivo, visto che il processo richiede una nuova passkey a ciascun servizio. Il lato positivo è che un dispositivo rubato non rappresenta una vulnerabilità per la sicurezza, in quanto il dispositivo stesso deve essere sbloccato per ottenere l’accesso alla chiave di accesso.