Link alla notizia: https://www.hwupgrade.it/news/software-business/password-addio-il-supporto-alle-passkey-arriva-nella-versione-stabile-di-google-chrome_112449.html

Si tratta di un nuovo modo per autenticarsi sui siti e i servizi online. Le passkey approdano sulla versione stabile di Google Chrome per Windows 11, macOS e Android e promettono maggiore sicurezza rispetto alle password.

Click sul link per visualizzare la notizia.

...
Qualcuno si starà già chiedendo: cosa sono le passkey?...


E se lo continuano a chiedere...;)
Bastava scrivere "autenticazione tramite chiave asimmetrica"...

ma ci possiamo fidare ?

così quando ti ruberanno le credenziali dovrai tagliarti il pollice

A parte che affidare tutti i propri accessi a un solo servizio di un'azienda privata non mi convince per nulla, cosa succede se lo smartphone è infetto?
Io reputo il mio telefono molto meno sicuro del mio computer, su cui scelgo l'OS da usare e non ho niente di preinstallato.

E se lo continuano a chiedere...;)
Bastava scrivere "autenticazione tramite chiave asimmetrica"...

Hai ragione, col tuo commento è diventato tutto più chiaro

vado subito a buttare via tutte le mie password!!

Hai ragione, col tuo commento è diventato tutto più chiaro
Devo spiegare come funziona la crittografia a chiave asimmetrica?
E si che ormai è una tecnologia molto diffusa, tra certificati, firme digitali, cifratura memorie, smartcard...

Il discorso era che in tutto l'articolo non veniva detto che tipo di autenticazione erano queste Passkey. Per l'appunto, una semplice autenticazione che prevede che, invece di tenere segreta una password, tu debba tenere segreta una chiave...

Devo spiegare come funziona la crittografia a chiave asimmetrica?
E si che ormai è una tecnologia molto diffusa, tra certificati, firme digitali, cifratura memorie, smartcard...

Il discorso era che in tutto l'articolo non veniva detto che tipo di autenticazione erano queste Passkey. Per l'appunto, una semplice autenticazione che prevede che, invece di tenere segreta una password, tu debba tenere segreta una chiave...

Forse non era un commento ironico, a me il tuo commento è stato utile per capire con una sola frase di cosa si stava parlando.
Personalmente però questo sistema non lo considero più sicuro delle attuali password se si utilizza un cloud o il proprio smartphone. Si rischia di dipendere dalla sicurezza fisica di un oggetto (lo smartphone probabilmente portandolo in giro potrebbe essere più soggetto ad occhi indiscreti o furti). Sarebbe meglio utilizzare chiavette offline adibite allo scopo così come è stato per i generatori di codici otp, wallet hardware per cryptovaluta ecc. Non la
vedo come una grande novità.

ma ci possiamo fidare ?

Hm, il mio I Ching elettronico dice... giallo soffuso?

Una passkey non lascia il vostro dispositivo mobile quando accedi in questo modo.

La concordanza, perdinciui!

La concordanza, perdinciui!

ormai chi scrive non sa neanche cosa scrive, quindi è facile faccia confusione :D

E se lo continuano a chiedere...;)
Bastava scrivere "autenticazione tramite chiave asimmetrica"...
non è che pure così mi sia chiarissimo come avviene l'autenticazione, ma pazienza, tanto preferisco la pass :p

A parte che affidare tutti i propri accessi a un solo servizio di un'azienda privata non mi convince per nulla, cosa succede se lo smartphone è infetto?
Io reputo il mio telefono molto meno sicuro del mio computer, su cui scelgo l'OS da usare e non ho niente di preinstallato.
:mano:
tanto per cambiare, un modo per estorcere un collegamento fra tutto quello che fai online e lo smartphone, che già ti spia di suo. :muro:

non è che pure così mi sia chiarissimo come avviene l'autenticazione, ma pazienza, tanto preferisco la pass :p


Ti registri, crei la coppia di chiavi, dai al sito la chiave pubblica.
Per loggarti, il sito ti manda un testo, tu lo firmi con la privata, glielo rimandi, lo controlla con la pubblica, e ti fa accedere...

Ti registri, crei la coppia di chiavi, dai al sito la chiave pubblica.
Per loggarti, il sito ti manda un testo, tu lo firmi con la privata, glielo rimandi, lo controlla con la pubblica, e ti fa accedere...

grazie. :)
e la coppia di chiavi la genera e gestisce un sw qualunque compatibile con il protocollo di login/scambio, giusto?

beh, sembra più decentralizzato di quanto mi sembrava all'inizio...:stordita:
semplicemente quando ti registri al sito anzichè stabilire user e pass, stabilisci l'user e consegni la chiave pubblica, prodotta dove e come ti pare...

grazie. :)
e la coppia di chiavi la genera e gestisce un sw qualunque compatibile con il protocollo di login/scambio, giusto?

beh, sembra più decentralizzato di quanto mi sembrava all'inizio...:stordita:
semplicemente quando ti registri al sito anzichè stabilire user e pass, stabilisci l'user e consegni la chiave pubblica, prodotta dove e come ti pare...
Non so.
Per il momento sembra che venga implementato come sistema gestito direttamente nell'OS del telefono. Credo utilizzino, per le chiavi, direttamente la memoria credenziali del sistema.
Certo che, se il backup delle chiavi viene fatto tramite cloud Google, vuol dire che le chiavi sono accessibili, quindi probabilmente usciranno anche delle alternative terze, per la gestione del tutto.

Comunque, nel caso di android, stai consegnando tutte le chiavi di accesso agli account in mano ai server Google.
Per il momento, mi tengo strette le mie password...:D

Non so.
Per il momento sembra che venga implementato come sistema gestito direttamente nell'OS del telefono. Credo utilizzino, per le chiavi, direttamente la memoria credenziali del sistema.
Certo che, se il backup delle chiavi viene fatto tramite cloud Google, vuol dire che le chiavi sono accessibili, quindi probabilmente usciranno anche delle alternative terze, per la gestione del tutto.

Comunque, nel caso di android, stai consegnando tutte le chiavi di accesso agli account in mano ai server Google.
Per il momento, mi tengo strette le mie password...:D
concordo :)
dopo di che se il tutto è open ed usa un protocollo open che in pratica definisce solo che il login avviene scambiando un codice che tu crittografi e rimandi indietro, ok (in realtà si può farselo in casa sia lato client che server già ora).
altrimenti ciccia.

concordo :)
dopo di che se il tutto è open ed usa un protocollo open che in pratica definisce solo che il login avviene scambiando un codice che tu crittografi e rimandi indietro, ok (in realtà si può farselo in casa sia lato client che server già ora).
altrimenti ciccia.

Per il momento, non vedo niente di rivoluzionario.
Cioè, se le chiavi private fossero inaccessibili (come avviene, ad esempio, con le smartcard, o le chiavette hardware...), allora avrebbe un senso maggiore.
Ma così, con le chiavi private che viaggiano per internet, e vengono salvate su server esterni, quali sono i reali vantaggi rispetto all'uso delle password?

Ecco, l'unico è che ti salvi in parte dal phishing. Se sei proprio un distrattone, e ti autentichi su una pagina farlocca, perdi solo quel dato accesso, e non l'intera chiave privata. Come avviene con le OTP per l'autorizzazione a due fattori.
Ma esistono già metodi per fregarti anche su quelle, quindi...

Per il momento, niente di eclatante. Almeno fino a quando non si potranno usare con un gestore open, tipo un password manager.

...
Ma così, con le chiavi private che viaggiano per internet, e vengono salvate su server esterni, quali sono i reali vantaggi rispetto all'uso delle password?
perchè le private che viaggiano? non viaggia solo la pubblica? :confused:

la privata te la generi sul tuo apparecchio e lì rimane, no?:mbe:
Ecco, l'unico è che ti salvi in parte dal phishing. Se sei proprio un distrattone, e ti autentichi su una pagina farlocca, perdi solo quel dato accesso, e non l'intera chiave privata. Come avviene con le OTP per l'autorizzazione a due fattori.
Ma esistono già metodi per fregarti anche su quelle, quindi...
:confused:

perchè le private che viaggiano? non viaggia solo la pubblica? :confused:

la privata te la generi sul tuo apparecchio e lì rimane, no?:mbe:

Non viaggia quando la generi e la utilizzi, ma Google ti fa il backup sul suo cloud. Quindi alla fine, su internet ci arriva lo stesso. E in che mani, poi...:D

Naturalmente devi avere un backup, visto che sono l'unico accesso che avresti per alcuni account.
Non puoi scrivertele su un foglietto, come con le password.
Dovresti farti un backup locale, ma quanti sono in grado di farlo? Allora Google ci pensa lui...


:confused:
Avevo letto che riescono a interporsi tra te e, per esempio, la banca, e sfruttare la password a tempo prima che scada... Insomma, un falso sito che invece di memorizzare i dati inseriti, li usa al volo...

Certamente sono casi particolari (e probabilmente il dispendio di energia per mettere in atto queste truffe è maggiore), ma vuol dire che anche i codici a tempo, per quanto più sicuri della sola password, non sono 100% sicuri.
Specie se clicchi link a caso sulle email...

Naturalmente devi avere un backup, visto che sono l'unico accesso che avresti per alcuni account.
Non puoi scrivertele su un foglietto, come con le password.
beh, potresti stamparle sotto forma di string(on)a alfanumerica o di qrcode, no? :stordita:

Avevo letto che riescono a interporsi tra te e, per esempio, la banca, e sfruttare la password a tempo prima che scada... Insomma, un falso sito che invece di memorizzare i dati inseriti, li usa al volo...
ah, beh, falso sito e cattura del 2°fattore (app o sms)... ok, non semplicissimo...

beh, potresti stamparle sotto forma di string(on)a alfanumerica o di qrcode, no? :stordita:

Sì, ma te lo vedi l'utente comune a fare una cosa del genere (soprattutto da smartphone)?
In molti, neanche ce l'hanno la stampante...
E queste Passkey, sembrano fatte proprio per rendere più sicuri gli accessi a questo tipo di utenti, i meno esperti...
No, probabilmente Google ha ragione, l'unica maniera è che ci pensi lui al backup...

La cosa più corretta, semplice e sicura, a mio avviso, è piano piano fornire tutti i terminali connessi a internet di un sistema doppio di Face ID stile Apple e impronta digitale. Questi sistemi devono funzionare in contemporanea e in modo sinergico per accedere a siti protetti e ad app sensibili.

La cosa più corretta, semplice e sicura, a mio avviso, è piano piano fornire tutti i terminali connessi a internet di un sistema doppio di Face ID stile Apple e impronta digitale. Questi sistemi devono funzionare in contemporanea e in modo sinergico per accedere a siti protetti e ad app sensibili.

Non credo proprio funzioni così...
La lettura impronte o facce funziona solo localmente, dispositivi diversi danno risultati diversi, non possono essere utilizzate univocamente per l'accesso a servizi esterni...
Possono solo essere usate sul dispositivo, per accedere al portafogli chiavi, le quali devono comunque essere ridondanti ed esportabili.

Sì, ma te lo vedi l'utente comune a fare una cosa del genere (soprattutto da smartphone)?
In molti, neanche ce l'hanno la stampante...
E queste Passkey, sembrano fatte proprio per rendere più sicuri gli accessi a questo tipo di utenti, i meno esperti...
No, probabilmente Google ha ragione, l'unica maniera è che ci pensi lui al backup...
basta che si possa scegliere di NON usare i servizi di G...