È ora di saperne di più sulle passkey, la tecnologia di accesso senza password in arrivo su iOS 16

Questa storia è parte WWDC 2022La copertura completa di CNET da e sulla conferenza annuale degli sviluppatori di Apple.

Che cosa sta succedendo

Apple e Google aggiorneranno il software del telefono e i browser Web entro la fine dell’anno con una tecnologia chiamata passkey, progettata per essere più facile da usare e più sicura delle password.

perché è importante

Le password sono afflitte da problemi, ma i giganti della tecnologia hanno collaborato per progettare un’alternativa conveniente che riduca le vulnerabilità e i rischi di hacking.

Entro la fine dell’anno, Apple introdurrà il supporto per una nuova tecnologia di accesso che promette di essere più sicura delle password, del miscuglio di lettere, dei numeri e dei caratteri speciali che malediciamo abitualmente quando proviamo ad accedere. accedi ai nostri conti bancari o alle nostre e-mail.

Da iOS16 e Mac OS Ventura questo autunno, chiavi di accesso non richiedono una configurazione univoca per ogni applicazione o servizio, la pratica consigliata con le password. Inoltre, non hanno bisogno di un secondo fattore di autenticazione, come un codice SMS, per rafforzare le lacune nel sistema delle password.

Le chiavi di accesso sono facili – forse più facili – da usare delle password perché non implicano la digitazione o il ricordo del tripudio di sequenze di tasti richieste per le password. Inoltre, bloccano gli attacchi di phishing ed eliminano le complicazioni dell’autenticazione a due fattori.

Dopo aver impostato una password per un sito o un’app, questa viene archiviata sul telefono o sul personal computer che hai utilizzato per configurarla. Servizi come il portachiavi iCloud di Apple o Chrome Password Manager di Google possono sincronizzare le passkey su tutti i tuoi dispositivi. Decine di aziende tecnologiche hanno sviluppato gli standard aperti dietro le chiavi di sicurezza in un gruppo chiamato FIDO Alliance, che ha annunciato le chiavi di sicurezza a maggio.

“Ora è il momento di abbracciarli”, ha detto Garrett Davidson, un ingegnere della tecnologia di autenticazione di Apple, a una conferenza del WWDC sulle chiavi di sicurezza. “Con le chiavi di accesso, non solo l’esperienza dell’utente è migliore rispetto alle password, ma intere categorie di sicurezza, come credenziali deboli e riutilizzate, perdite di credenziali e phishing, semplicemente non sono più possibili”.

Dovrai dedicare del tempo alla curva di apprendimento prima che le chiavi di sicurezza raggiungano il loro potenziale. Dovrai anche decidere se Apple, Microsoft o Google sono l’opzione migliore per te.

Ecco una panoramica della tecnologia.

Cos’è una password?

Si tratta di un nuovo tipo di ID di accesso costituito da un po’ di dati numerici che il PC o il telefono utilizza durante la connessione a un server. Approva ogni utilizzo di questi dati con un passaggio di autenticazione, come la verifica dell’impronta digitale, il riconoscimento facciale, un PIN o il modello di accesso familiare ai proprietari di telefoni Android.

Ecco il trucco: dovrai avere il tuo telefono o computer con te per usare le chiavi di accesso. Non puoi accedere a un account protetto da password dal computer di un amico senza il tuo dispositivo.

Le chiavi di sicurezza vengono sincronizzate e sottoposte a backup. Se acquisti un nuovo telefono Android, Google può ripristinare le tue chiavi di sicurezza. Con la crittografia end-to-end, Google non può vedere o modificare le chiavi di accesso.

Come funziona l’impostazione di una password?

È abbastanza semplice. Usa l’impronta digitale, il volto o un altro meccanismo per autenticare una passkey quando un sito Web o un’app ti chiede di configurarne uno. Questo è tutto.

Questi passaggi mostrano come accedere con le passkey su un telefono Android: scegli l’opzione passkey, scegli la passkey appropriata e autenticati con un ID impronta digitale. Il riconoscimento facciale è anche un’opzione sui telefoni compatibili.

Google

Come si usa una password per accedere?

Quando si utilizza un telefono, viene visualizzata un’opzione di autenticazione della password quando si tenta di accedere a un’app. Tocca quell’opzione, usa la tecnica di autenticazione scelta e sei lì.

Per i siti web, dovresti vedere un’opzione per la password nel campo del nome utente. Dopodiché, il processo è lo stesso.

Una volta che hai un passcode sul tuo telefono, puoi usarlo per facilitare l’accesso su un altro dispositivo vicino, come il tuo laptop. Una volta effettuato l’accesso, questo sito Web potrebbe offrire la creazione di una nuova password relativa al nuovo dispositivo.

Cosa succede se devo accedere a un sito Web mentre utilizzo il computer di qualcun altro?

Puoi utilizzare una password memorizzata sul telefono per accedere a un altro dispositivo nelle vicinanze, ad esempio un laptop preso in prestito. La schermata di accesso sul laptop preso in prestito avrà la possibilità di presentare un codice QR che puoi scansionare con il tuo telefono. Utilizzerai il Bluetooth per assicurarti che il tuo telefono e il computer siano nelle vicinanze, quindi potrai utilizzare la verifica dell’impronta digitale o dell’ID facciale sul tuo telefono. Il telefono comunicherà quindi con il computer tramite una connessione protetta per completare il processo di autenticazione.

Perché le chiavi di accesso sono più sicure delle password?

Le chiavi di accesso utilizzano una base di sicurezza comprovata chiamata crittografia a chiave pubblica per l’operazione di accesso. È la stessa tecnologia che protegge il numero della tua carta di credito quando lo inserisci su un sito web. Il bello del sistema è che un sito Web deve solo basare il proprio record di passkey sulla chiave pubblica, dati progettati per essere apertamente visibili. La chiave privata utilizzata per impostare una password è memorizzata solo sul proprio dispositivo. Non esiste un database di password che un hacker possa rubare.

Un altro grande vantaggio è che le chiavi di sicurezza bloccano i tentativi di phishing. “Le chiavi di sicurezza sono intrinsecamente legate al sito Web o all’applicazione per cui sono state configurate, quindi gli utenti non possono mai essere indotti con l’inganno a utilizzare la loro chiave di sicurezza sul sito Web sbagliato”, ha affermato Ricky Mondello, che supervisiona la tecnologia di autenticazione presso Apple, in un video del WWDC .

L’utilizzo delle chiavi di accesso richiede di avere il dispositivo a portata di mano e di poterlo sbloccare, una combinazione che offre la protezione dell’autenticazione a due fattori ma con meno problemi rispetto ai codici SMS. E con le chiavi di accesso, nessuno può curiosare alle tue spalle per vederti digitare la password.

Quando vedrò le chiavi di accesso?

Le chiavi principali potrebbero emergere quest’anno.

Alla sua Worldwide Developers Conference, Apple ha dichiarato che porterà le chiavi di accesso a iOS 16 e macOS Ventura, i suoi principali aggiornamenti software del sistema operativo previsti per questo autunno. A maggio, Google ha annunciato che avrebbe introdotto il supporto per le chiavi di accesso al software Android entro la fine del 2022 per i test degli sviluppatori, ha affermato il capo dell’autenticazione di Google Mark Risher. Il supporto per la passkey dovrebbe arrivare contemporaneamente in Chrome e Chrome OS. Microsoft sta pianificando il supporto di Windows nei prossimi mesi.

Alcuni siti Web e app saranno ansiosi di aggiornare il proprio software di accesso per utilizzare le chiavi di sicurezza in modo da poter usufruire dei vantaggi della sicurezza. Altri si muoveranno più lentamente. Anche se le chiavi di accesso si stanno diffondendo rapidamente, non aspettarti che le password scompaiano.

I siti Web e le app richiedono l’utilizzo di passkey?

È improbabile che ti venga richiesto di utilizzare le chiavi di sicurezza quando la tecnologia è nuova e sconosciuta. I siti Web e le app che già utilizzi probabilmente aggiungeranno il supporto della passkey ai metodi di password esistenti.

Una persona utilizza un telefono per scansionare un codice QR per attivare l'accesso con passkey su un computer vicino

Se devi connetterti al computer di un amico che non ha la tua password, la scansione di un codice QR consentirà al tuo telefono di gestire il processo di autenticazione.

Mela

Quando ti iscrivi a un nuovo servizio, le chiavi di accesso potrebbero essere presentate come l’opzione preferita. Alla fine, potrebbero diventare l’unica opzione.

Le chiavi di accesso mi bloccheranno negli ecosistemi Apple o Google?

Non esattamente. Sebbene le chiavi di sicurezza siano radicate nella suite tecnologica di un’azienda, potrai disconnetterti, ad esempio, dal mondo di Apple per utilizzare le chiavi di sicurezza con quelle di Microsoft o Google.

“Gli utenti possono accedere su un browser Google Chrome che funziona su Microsoft Windows, utilizzando una password su un dispositivo Apple”, ha affermato Vasu Jakkal, un responsabile della tecnologia di sicurezza e identità di Microsoft, in un post sul blog di maggio.

I sostenitori delle passkey stanno anche lavorando sulla tecnologia per consentire alle persone di migrare le loro passkey da un’area tecnologica all’altra, secondo Apple e Google.

In che modo i gestori di password vengono coinvolti con le chiavi di accesso?

Insomma, non lo sono, per il momento. I gestori di password svolgono un ruolo sempre più importante nella generazione, archiviazione e sincronizzazione delle password. Ma le chiavi di accesso saranno rootate sul tuo telefono o personal computer, non sul tuo gestore di password.

Ciò potrebbe cambiare, tuttavia.

“Ci aspettiamo un’evoluzione naturale verso un’architettura che consenta ai gestori di passkey di terze parti di collegarsi e portabilità tra gli ecosistemi”,

Risher di Google prevede che le chiavi di sicurezza si evolvano per ridurre le barriere tra gli ecosistemi e accogliere gestori di chiavi di sicurezza di terze parti. “Questo è stato un punto di discussione dall’inizio di questa spinta del settore”.

1Il produttore di password AgileBits è appena entrato a far parte della FIDO Alliance, DashLane è già membro e anche LastPass è coinvolto.

Add Comment