Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Addio password, benvenuta passkey?

Le passkey sono un concetto nuovo, a differenza delle password, per cui è comprensibile che ci sia una certa riluttanza mista a diffidenza e che circolino molte preoccupazioni. Per esempio, si teme che se si perde il dispositivo sul quale risiede una passkey di un account diventi impossibile accedere a quell'account, ma in realtà si può continuare ad accedervi tramite la tradizionale password, almeno per ora, e si possono sempre usare i codici di recupero d'emergenza che ogni utente prudente dovrebbe aver salvato.

Un'altra ansia frequente è che se un aggressore si impossessa di uno smartphone sul quale risiedono delle passkey e quello smartphone è stato sbloccato dall'utente, l'aggressore avrà così accesso diretto agli account gestiti dalle passkey. Ma non è così, perché se ci proverà gli verrà chiesto di nuovo di far leggere l'impronta digitale o eseguire il riconoscimento facciale o immettere il PIN.

Alcuni utenti giustamente sensibili alla privacy sono contrari alle passkey perché richiedono di fornire un'impronta digitale o una scansione del proprio volto al gestore del servizio di passkey. Ma in realtà questi dati biometrici non lasciano mai il dispositivo dell'utente, e se si usa già il sensore d'impronte o la telecamera per sbloccare il telefono tanto vale usarlo anche per le passkey. In ogni caso, se non si vogliono fornire al dispositivo né impronte né immagini del proprio volto, ci si può sempre autenticare usando la password di sblocco del dispositivo, che vale anche per le passkey.

Consigliamo la lettura di:

10 miliardi di password rubate e pubblicate in chiaro

Proton Docs, documenti al riparo da occhi indiscreti

Proton Pass conquista anche Linux e macOS

Windows 11 24H2 cripta tutti i drive all'insaputa dell'utente

Altri utenti non si fidano di Apple, Microsoft o Google e quindi non vogliono che la parte segreta della passkey, quella che risiede sul dispositivo dell'utente, venga trasmessa a queste aziende quando si fa la sincronizzazione dei dati o quando si copia una passkey da un dispositivo a un altro. Anche questa preoccupazione, però, è infondata, perché in realtà la parte segreta della passkey non viene mai trasmessa in forma utilizzabile da terzi, perché è crittografata end-to-end, e anche se queste aziende o altre organizzazioni fossero capaci di superare questa crittografia non potrebbero usare le passkey senza essere fisicamente vicine al dispositivo dell'utente.

Insomma, le passkey sono una tecnologia nascente ma robusta e pensata bene per le esigenze degli utenti comuni, che comprensibilmente vogliono un sistema di autenticazione semplice da usare ma resistente agli attacchi. Ed è chiaro, dalle storie quotidiane di password perse, dimenticate o rubate e di account violati o irrecuperabili, che il sistema tradizionale scricchiola da tempo sotto il peso della sua complessità eccessiva. Vale quindi la pena di provare ad abituarsi adesso alla comodità di autenticarsi semplicemente appoggiando un dito su un sensore. È sicuramente meglio che avere la stessa password dappertutto e avere come password il nome seguito dall'anno di nascita.

Non lo fa più nessuno, vero? Vero?

Fonti aggiuntive: TechCrunch, Google, Ars Technica.