Morte alle password: il supporto sperimentale della passkey arriva su Chrome e Android [Update]
![Morte alle password: il supporto sperimentale della passkey arriva su Chrome e Android [Update]](https://cdn.arstechnica.net/wp-content/uploads/2021/01/passwords-800x534.jpg)
Getty Images
Big Tech vuole uccidere la password, con le “passkey” che sono il nuovo standard per la sostituzione della password sul blocco. le chiavi di accesso sono sostenuta da Google, Apple, Microsoft e FIDO Alliance, quindi aspettati di vederli presto ovunque. iOS Raccogliere Lo standard è nella versione 16 e ora lo è Google Lancio della passkey beta su Chrome e Android.
L’argomento della passkey è che le password sono obsolete e non sicure. Le password dei computer sono state originariamente progettate come un segreto memorabile per gli esseri umani da digitare in una casella di testo. Con l’emergere della necessità di maggiore sicurezza, sono arrivati i gestori di password, che semplificano il salvataggio e il recupero delle password. Ora, invece di alcune frasi facili da ricordare per un essere umano, il modo migliore per usare una password è fare in modo che il tuo computer generi una stringa di caratteri jolly e non riutilizzi quella password da nessun’altra parte. Tuttavia, la rivoluzione del password manager è un hack creato sopra questa casella di testo originale. Non abbiamo più bisogno della casella di testo ed è qui che entrano in gioco le passkey.
Le chiavi di accesso vengono semplicemente scambiate WebAuthn Chiavi di crittografia con il sito direttamente. Non è necessario dire a un gestore di password di creare, archiviare e ripristinare un segreto: tutto ciò avverrà automaticamente, con segreti molto migliori rispetto alla vecchia casella di testo supportata e in una singolarità. Lo svantaggio è che mentre ogni browser nel mondo supporta la visualizzazione della vecchia casella di testo, il supporto per la passkey deve essere aggiunto a ogni browser web, ogni gestore di password e ogni sito web. Sarà un lungo viaggio.
Ron Amedeo
L’unica opzione strana che Big Tech ha realizzato con le chiavi di accesso è che la cosa che autentica il tuo accesso a un sito Web è il tuo telefono, e non il gestore password su qualsiasi dispositivo che stai attualmente utilizzando. Anche questa connessione tra il telefono e il client non viene eseguita su Internet come l’autenticazione a due fattori: il dispositivo che stai utilizzando necessita del Bluetooth in modo che il tuo telefono possa parlare con esso in locale. Il Bluetooth viene utilizzato per garantire che il telefono sia vicino al dispositivo e per avviare una sessione di rete (più sicura del Bluetooth). Il mantenimento della connessione in locale garantisce che persone casuali su Internet non possano accedere ai tuoi account, ma bloccherà anche alcuni computer desktop.
Google afferma che i suoi sforzi per la passkey hanno raggiunto un “importante traguardo” oggi. Se ti sei registrato alla versione beta di Play Services, ora puoi creare e utilizzare passkey sui dispositivi Android e Chrome Canary ora supporta passkey per i siti web. Google afferma che le app stabili per Chrome e Android verranno rilasciate entro la fine dell’anno, ma vuole che gli sviluppatori inizino a sviluppare ora.
Google ha anche condiviso alcuni dettagli su come funziona. La soluzione Google ha le tue chiavi di accesso memorizzate in Google Password Manager. Il popup sul tuo telefono ti chiederà prima di scegliere un account, quindi autenticarti con un tipo di biometrico, come lo sblocco dell’impronta digitale. Il telefono comunicherà con il client tramite bluetooth, il browser sblocca la tua passkey e poi la invia al sito web. (Se il cliente fosse il tuo telefono, tutto sarebbe molto più semplice.)
Inizi con un codice QR? Questo dovrebbe essere solo un hack beta.
Il Google
Per qualche motivo, l’esempio di Google prevede l’avvio dell’intero processo con un codice QR. Suppongo che questo sia solo un rapido hack beta, ma per far apparire il popup della passkey per primo sul telefono, Google fa visualizzare sul computer un codice QR e quindi il telefono lo scansiona. Proprio come il prompt di Google o altre forme di 2FA, in futuro speriamo che il popup iniziale della passkey si apra automaticamente online.
Oltre alle versioni stabili di Android e Chrome, il prossimo passo per Google è un’API per app Android native e un’API Android per gestori di password di terze parti da collegare a questo. Google sta mettendo in ordine la sua casa ora, ma in futuro dovrebbe funzionare in tutti gli ecosistemi, quindi il tuo iPhone può inviare una passkey a Chrome o il tuo telefono Android può inviare una passkey a Safari.
“Comunicatore. Ninja web hardcore. Amante estremo dei social media. Analista. Drogato di alcol.”
