Link alla notizia: https://www.hwupgrade.it/news/web/addio-alle-password-anche-sugli-account-google-come-funzionano-le-passkey-e-come-abilitarle_116414.html

Google ha annunciato che l'accesso via passkey è adesso disponibile su tutti gli account Google (non ancora sugli account Workspace). Ecco come funzionano e come abilitarle sui propri dispositivi compatibili

Click sul link per visualizzare la notizia.

No grazie.

Se mi si rompe il "coso" hardware che faccio? perdo l'accesso all'account forever? mi devo comprare multipli "cosi" hardware nel caso uno si rompa? e se ci fossero altri sistemi per recuperare l'accesso in quel caso, cosa impedisce ai malintenzionati di usare i suddetti sistemi per bypassare la protezione? e se qualcuno mi frega il "coso" hardware che faccio? mi attacco la tram? almeno una password se sono in grado la posso memorizzare e nessuno me la può rubare facilmente da dentro la mia testa

Anche io passo per il medesimo motivo. Anche se ho un amico che già fa una cosa del genere sul suo telefono e non gli ho voluto fare apposta la medesima domanda, se ti si sfancula il telefono, che fai?

Anche io passo per il medesimo motivo. Anche se ho un amico che già fa una cosa del genere sul suo telefono e non gli ho voluto fare apposta la medesima domanda, se ti si sfancula il telefono, che fai?

Credo che tu possa comunque entrare "alla vecchia" o avere un dispositivo di backup... credo... sentiamo qualcuno che sa più di me

Se si rompe / perde / ruba il dispositivo hardware è normale perdere accesso all'account: è il suo scopo. Per recuperarlo esistono una serie di codici monouso che vengono allocati all'abilitazione del fattore di autenticazione hardware. Codici che in teoria andrebbero tenuti in posti sicuri ed utilizzati solo per recuperare un account con un hardware token compromesso, insieme ad altri dati personali.

La domanda ovvia è: "ma se bastano questi codici per recuperare un account, in che modo questo è più sicuro di una password?"

La risposta è: i codici necessitano di altri dati di autenticazione (ad esempio un link da cliccare inviato alla casella di posta) e sono estremamente complessi (non indovinabili come purtroppo troppe password possono esserlo)

No grazie.

Se mi si rompe il "coso" hardware che faccio? perdo l'accesso all'account forever? mi devo comprare multipli "cosi" hardware nel caso uno si rompa? e se ci fossero altri sistemi per recuperare l'accesso in quel caso, cosa impedisce ai malintenzionati di usare i suddetti sistemi per bypassare la protezione? e se qualcuno mi frega il "coso" hardware che faccio? mi attacco la tram? almeno una password se sono in grado la posso memorizzare e nessuno me la può rubare facilmente da dentro la mia testa

no ma tranquillo proprio, gli esperti di sicurezza sono solo una manica d'incompetenti a consigliare i sistemi passwordless :muro:

il "coso" è semplicemente uno dei tuoi possibili dispositivi con autenticazione biometrica.
un PC con windows hello, praticamente ogni smartphone, un dongle dedicato (decisamente poco comodo), un'app di autenticazione (poco comoda), un Mac con l'autenticazione biometrica ecc.

se si rompe, hai le one time password, vengono generate, te le salvi offline e sono un passe-partout universale come ci sono già oggi per recuperare gli authenticator perduti, gli account dropbox/steam/banca/gmail ecc.

se uno non ne ha generate, se uno le ha perdute ecc. è esattamente nella stessa medesima situazione di oggi quando uno dimentica la password senza possibilità di recupero.
la password paypal ad esempio, se uno ha gli account "nativi" (cioè non "login with google" e simili), ti tocca scrivergli, inviargli un documento di identità e tutta la trafila. e forse ti sbloccano l'account. forse.

i sistemi passwordless li hanno inventati perché per non diventare matti sempre più servizi si appoggiano ad altri servizi terzi per l'autenticazione ed autorizzazione (google, facebook e microsoft su tutti). e più che lo si fa, più aumenta il rischio.
passando da un'autenticazione biometrica si toglie un bel pezzo dalla superficie attaccabile: le password sotto sotto esistono sempre ma non si conoscono. è meglio per tutti.
immagina oggi usare l'account google per accedere a 350 servizi, se ti ciulano quello è finita. qui giocano la partica i sistemi passwordless.

c'è una letteratura ormai molto corposa a riguardo.

la scocciatura potenziale c'è, ed è il recupero password "ordinario".
intendo dire, oggi giorno uno dimentica una pass qualunque non di account troppo "vitali", ad esempio quella di hwupgrade. clicchi sul form, ti inviano un link per resettarla al volo, ne setti una nuova e buonanotte.
ecco, queste cose sono assolutamente fattibili in scenari passwordless, MA:
1 - qualcuno la implementerà MALE. sicuro.
2 - se il "coso" non è disponibile, rischia di essere un po' macchinosa.

non so in italia, ma qua (Francia ed Australia) sostanzialmente le banche già usano questi sistemi per validare le operazioni. compri qualcosa, ti arriva la notifica sull'app sul telefono, validi l'operazione ed il flusso prosegue.
i sistemi passwordless sono quello, esteso solo a più cose

Credo che tu possa comunque entrare "alla vecchia" o avere un dispositivo di backup... credo... sentiamo qualcuno che sa più di me

Sì, ma il senso del mio post è porre una domanda del genere a qualcuno che non c'ha pensato, come mi è capitato in quel momento, ed infatti poi ho lasciato stare.

No grazie.

Se mi si rompe il "coso" hardware che faccio?

Ne accenna anche l'articolo stesso:

Le passkey possono anche essere revocate velocemente attraverso le impostazioni dell'account Google, ad esempio se si perde il dispositivo legato alla passkey o se si sospetta che l'account sia stato rubato.

Se ho capito bene funziona come l'autentificazione a due fattori, cioè entra in gioco solo quando ci si connette da un dispositivo sconosciuto, ma finché si usa uno già registrato, il proprio smartphone, il proprio pc di casa ecc... ci si connette come prima

Ragazzi, sono semplicemente delle chiavi private, stoccate in una specie di password manager, che, a differenza delle password normali, non escono mai dal password manager.
Basta fare un backup delle chiavi e, anche se ti si rompe il dispositivo di autenticazione, recuperi le chiavi dal backup.

Il problema, semmai, è che l'utente comune non è in grado di farsi il backup, quindi Google propone un sistema automatizzato in cui lui, nella sua infinita bontà, conserva sui suoi server il backup delle chiavi private con cui tu accedi a tutti i servizi a cui ti sei registrato...

il "coso" è semplicemente uno dei tuoi possibili dispositivi con autenticazione biometrica.
un PC con windows hello, praticamente ogni smartphone, un dongle dedicato (decisamente poco comodo), un'app di autenticazione (poco comoda), un Mac con l'autenticazione biometrica ecc.

Telefonino e/o dongle sono facilmente rubali


se si rompe, hai le one time password, vengono generate, te le salvi offline e sono un passe-partout universale come ci sono già oggi per recuperare gli authenticator perduti, gli account dropbox/steam/banca/gmail ecc.


Quindi le password "Tradizionali" ci sono ancora, password che potrebbero essere usate dai malintenzionati per accedere comunque al tuo account, in barba ai vari dongle / app di autenticazioni / verifiche biometriche / ecc.


se uno non ne ha generate, se uno le ha perdute ecc. è esattamente nella stessa medesima situazione di oggi quando uno dimentica la password senza possibilità di recupero.


Stessa cosa di perdere le password, quindi non ci vedo un vantaggio rispetto a queste ultime


la password paypal ad esempio, se uno ha gli account "nativi" (cioè non "login with google" e simili), ti tocca scrivergli, inviargli un documento di identità e tutta la trafila. e forse ti sbloccano l'account. forse.


Cosa che fanno già certi "hacker" quando ti duplicano la sim del telefono: Chiamano il tuo ISP, li convincono che sei tu, si fanno attivare una sim con il tuo stesso numero, mandano una richiesta di password dimenticata, ricevono un SMS con il link per il reset e RIP; In altre parole, non ci vedo un layer di protezione aggiuntivo rispetto al più "Tradizionale" sistema a due fattori.


passando da un'autenticazione biometrica si toglie un bel pezzo dalla superficie attaccabile: le password sotto sotto esistono sempre ma non si conoscono. è meglio per tutti.


Le password ci sono appunto, quindi la "Vulnerabilità" rimane anche in questi casi.


immagina oggi usare l'account google per accedere a 350 servizi, se ti ciulano quello è finita. qui giocano la partica i sistemi passwordless.


Infatti per questo si usano password diverse, semmai si dovrebbero usare anche molti account mail differenti perché quelli si che sono un punto critico se il sito permette il reset della password via e-mail.


la scocciatura potenziale c'è, ed è il recupero password "ordinario".
intendo dire, oggi giorno uno dimentica una pass qualunque non di account troppo "vitali", ad esempio quella di hwupgrade. clicchi sul form, ti inviano un link per resettarla al volo, ne setti una nuova e buonanotte.
ecco, queste cose sono assolutamente fattibili in scenari passwordless, MA:
1 - qualcuno la implementerà MALE. sicuro.
2 - se il "coso" non è disponibile, rischia di essere un po' macchinosa.

non so in italia, ma qua (Francia ed Australia) sostanzialmente le banche già usano questi sistemi per validare le operazioni. compri qualcosa, ti arriva la notifica sull'app sul telefono, validi l'operazione ed il flusso prosegue.
i sistemi passwordless sono quello, esteso solo a più cose

Rimane il fatto che il telefonino è la vulnerabilità più lampante in questo sistema(facile da rubare, la gente lo ha praticamente sempre in mano), non che le password tradizionali siano meglio sotto questo aspetto, ma questi sistemi password-less non mi sembrano questa grande panacea a confronto.

Ragazzi, sono semplicemente delle chiavi private, stoccate in una specie di password manager, che, a differenza delle password normali, non escono mai dal password manager.
Basta fare un backup delle chiavi e, anche se ti si rompe il dispositivo di autenticazione, recuperi le chiavi dal backup.

Quindi se con il sistema tradizionale devi stare attento che non ti fregano le password con questo sistema devi stare attento che non ti freghino le chiavi di backup.

Stessa cosa, diversa sostanza.

In tema di sicurezza qualcuno mi può spiegare come mai ancora nel codesto anno attuale, nonostante i 200mila sistemi di sicurezza di Windows + hardware TPM (Grazie Windows 11 per averlo messo come requisito) ancora oggi basta cliccare sull'.exe sbagliato per fregarsi l'intero PC? è un pò come se tutta questa presunta sicurezza aggiuntiva sia solo fuffa

Quindi se con il sistema tradizionale devi stare attento che non ti fregano le password con questo sistema devi stare attento che non ti freghino le chiavi di backup.

Stessa cosa, diversa sostanza.
La differenza è che le password normali devi continuamente inserirle, scriverle, copiarle. Continui ad esporle, ed in uno di questi tanti passaggi, potrebbero essere intercettate.

Le chiavi private, invece, le esponi solo nel momento in cui le crei. Il backup lo tieni al sicuro, e tutte le volte che devi autenticarti, le chiavi rimangono al sicuro, diminuendo moltissimo le possibilità che vengano rubate.

Si può semplificare dicendo che è un sistema di autenticazione a due fattori, ma che non chiede la password, basta inserire lo user e poi dare conferma con un qualche dispositivo hardware previamente registrato (smartphone, tablet ecc. ecc.). ?!?!?

io preferisco fare senza account google: pw manager con password generata random ogni volta, account diverso per ogni servizio, mail temporanee ogni quando è possibile, accesso sempre e solo dal pc.. sarà più complesso ma preferisco.
Sullo smartphone al massimo ci tengo le foto

Io credo che anche la passkey rimanga potenzialmente vulnerabile. Se un malintenzionato riesce a fingerprintare il tuo dispositivo hardware, non gli sarà difficile decriptare la passkey. Ed esistono tecniche sofisticatissime già oggi che permettono una tale (invasiva) profilazione dei nostri dispositivi. Molti siti web addirittura sanno quale scheda video e quale cpu sono legate al nostro IP, e persino quanta ram e che modello usiamo. E spaventoso quello che si può fare col fingerprinting

Io credo che anche la passkey rimanga potenzialmente vulnerabile. Se un malintenzionato riesce a fingerprintare il tuo dispositivo hardware, non gli sarà difficile decriptare la passkey. Ed esistono tecniche sofisticatissime già oggi che permettono una tale (invasiva) profilazione dei nostri dispositivi. Molti siti web addirittura sanno quale scheda video e quale cpu sono legate al nostro IP, e persino quanta ram e che modello usiamo. E spaventoso quello che si può fare col fingerprinting

Falso

Sì, ma il senso del mio post è porre una domanda del genere a qualcuno che non c'ha pensato, come mi è capitato in quel momento, ed infatti poi ho lasciato stare.Non mi sono ancora informato su come funziona questo sistema, ma l'idea di fondo è analoga a Google Authenticator.

Ovvero, anche per quell'applicazione, e per gli stessi motivi (la sicurezza) tutti i dati sono salvati solo in locale, e non viene inviato alcun tipo di dato. Se però il cellulare per qualche motivo ti va al creatore e non puoi più accedere, non è un problema.

O meglio: diventa una rottura sistemare tutto ma non è un problema. Banalmente, devi andare sul sito (o quel che è) di ogni singola entità con la quale hai attivato la doppia autentificazione con Google Authenticator, e disattivarla da li.
Per dire, se ce l'hai con Amazon (esempio), vai sul tuo account Amazon e disattivi l'autentificazione in due passaggi. Poi quando ottieni il nuovo cellulare, semplicemente la riattivi. Chiaro che se hai parecchi servizi diventa una cosa logorante, ma nulla di problematico.


Ora mi informo su come funziona questa Passkey, ma dubito che non abbiano ideato un sistema di recupero dei dati nel caso di perdita del dispositivo.

Non mi sono ancora informato su come funziona questo sistema, ma l'idea di fondo è analoga a Google Authenticator.

..

Ora mi informo su come funziona questa Passkey, ma dubito che non abbiano ideato un sistema di recupero dei dati nel caso di perdita del dispositivo.

E' questo il punto, bisogna informarsi un minimo prima per come muoversi.

Come scritto in un qualcosa di simile tempo dietro, alla fine aumentano le possibilità di "proteggersi" ma anche di avere sistemi che ti si rivoltano contro se non si è abbastanza preparati.

Il mio amico nel caso è uno che sta a metà, ovvero un minimo di informatica la sa, ma non sta dietro a tutte queste dinamiche, però prima o poi per curiosità qualche domanda gliela faccio, giusto per capire se sa come tirarsi fuori in caso di problemi.

Ovvio che bisogna informarsi. Quando ho pensato di usare google Authenticator è la prima cosa che ho fatto, e tra le varie cose mi sono informato proprio sull'eventualità di quello che avrei potuto fare in caso di cellulare non utilizzabile.

Cosa che tra l'altro mi è anche successa: il precedente mi si è sfasciato cadendo. Quando l'ho sostituito ho fatto esattamente quanto riportato sopra (lo usavo per due servizi) e non ho avuto problemi.


Trovo semmai ridicole certe persone che parlano senza informarsi, e sentenziano solo per partito preso. Esempio:
e se qualcuno mi frega il "coso" hardware che faccio? mi attacco la tram? almeno una password se sono in grado la posso memorizzare e nessuno me la può rubare facilmente da dentro la mia testaTralasciando il fatto che il "coso" hardware nel 99,9999% dei casi sarà lo smartphone (per cui intanto è da vedere SE il ladro riesce ad avere accesso, e nel caso quanto ci mette... non certo 2 minuti), l'articolo riporta chiaramente che:
Le passkey possono anche essere revocate velocemente attraverso le impostazioni dell'account Google, ad esempio se si perde il dispositivo legato alla passkey o se si sospetta che l'account sia stato rubato.Quindi cosa fare in quel caso è chiaro (oltre che piuttosto semplice e possibile da un qualunque terminale).

Almeno leggere prima di parlare a caso :asd:

Non capisco il problema di tutti quelli che stanno scrivendo "EEEH MA SE...", "EEEEEH SE, MA...". Qui non si parla di un sistema di sicurezza in più o migliore, ma della comodità di non inserire ogni volta la password.
Quello che (io) già faccio con le app IO, SPID, Ticket Restaurant, della banca, e tanti altri, semplicemente ora l'ha implementato anche Google.
Non è nulla di così stravolgente. :)

Non capisco il problema di tutti quelli che stanno scrivendo "EEEH MA SE...", "EEEEEH SE, MA...". Qui non si parla di un sistema di sicurezza in più o migliore, ma della comodità di non inserire ogni volta la password.
Quello che (io) già faccio con le app IO, SPID, Ticket Restaurant, della banca, e tanti altri, semplicemente ora l'ha implementato anche Google.
Non è nulla di così stravolgente. :)

questo servizio non inserisce password

Tanto vale a questo punto che ci infilino un RFID sottopelle (per non dire altrove), in modo da essere autenticati in quanto "vivi". Il futuro non può che essere questo, esseri umani "taggati" alla nascita. Altrimenti saremo sempre dipendenti da un "coso" senza il quale non avremo nemmeno più diritti.

Non capisco il problema di tutti quelli che stanno scrivendo "EEEH MA SE...", "EEEEEH SE, MA...". Qui non si parla di un sistema di sicurezza in più o migliore, ma della comodità di non inserire ogni volta la password.
Quello che (io) già faccio con le app IO, SPID, Ticket Restaurant, della banca, e tanti altri, semplicemente ora l'ha implementato anche Google.
Non è nulla di così stravolgente. :)

questo servizio non inserisce password

Eh.

Non mi sono ancora informato su come funziona questo sistema, ma l'idea di fondo è analoga a Google Authenticator.

Ovvero, anche per quell'applicazione, e per gli stessi motivi (la sicurezza) tutti i dati sono salvati solo in locale, e non viene inviato alcun tipo di dato. Se però il cellulare per qualche motivo ti va al creatore e non puoi più accedere, non è un problema.

O meglio: diventa una rottura sistemare tutto ma non è un problema. Banalmente, devi andare sul sito (o quel che è) di ogni singola entità con la quale hai attivato la doppia autentificazione con Google Authenticator, e disattivarla da li.
Per dire, se ce l'hai con Amazon (esempio), vai sul tuo account Amazon e disattivi l'autentificazione in due passaggi. Poi quando ottieni il nuovo cellulare, semplicemente la riattivi. Chiaro che se hai parecchi servizi diventa una cosa logorante, ma nulla di problematico.

Non è per nulla necessario.
Fai il backup dei seed, se il cellulare muore recuperi il backup salvato altrove.
Fine.

Eh.

non sapevo ci fossero app bancarie in cui fosse possibile autenticarsi senza password, ma effettivamente cercando sul web sembra alcune permettano il login tramite spid (tipo banca sella). mia ignoranza. per i ticket restaurant hai accesso con lo spid?

Qui non si parla di un sistema di sicurezza in più o migliore, ma della comodità di non inserire ogni volta la password.
tecnicamente la password non la devi per forza inserire ogni volta, O, in altri casi, se è un qualcosa che usi ogni tanto, averla a portata di mano in quel momento.

no ma tranquillo proprio, gli esperti di sicurezza sono solo una manica d'incompetenti a consigliare i sistemi passwordless :muro:

il "coso" è semplicemente uno dei tuoi possibili dispositivi con autenticazione biometrica.
un PC con windows hello, praticamente ogni smartphone, un dongle dedicato (decisamente poco comodo), un'app di autenticazione (poco comoda), un Mac con l'autenticazione biometrica ecc.

se si rompe, hai le one time password, vengono generate, te le salvi offline e sono un passe-partout universale come ci sono già oggi per recuperare gli authenticator perduti, gli account dropbox/steam/banca/gmail ecc.

se uno non ne ha generate, se uno le ha perdute ecc. è esattamente nella stessa medesima situazione di oggi quando uno dimentica la password senza possibilità di recupero.
la password paypal ad esempio, se uno ha gli account "nativi" (cioè non "login with google" e simili), ti tocca scrivergli, inviargli un documento di identità e tutta la trafila. e forse ti sbloccano l'account. forse.

i sistemi passwordless li hanno inventati perché per non diventare matti sempre più servizi si appoggiano ad altri servizi terzi per l'autenticazione ed autorizzazione (google, facebook e microsoft su tutti). e più che lo si fa, più aumenta il rischio.
passando da un'autenticazione biometrica si toglie un bel pezzo dalla superficie attaccabile: le password sotto sotto esistono sempre ma non si conoscono. è meglio per tutti.
immagina oggi usare l'account google per accedere a 350 servizi, se ti ciulano quello è finita. qui giocano la partica i sistemi passwordless.

c'è una letteratura ormai molto corposa a riguardo.

la scocciatura potenziale c'è, ed è il recupero password "ordinario".
intendo dire, oggi giorno uno dimentica una pass qualunque non di account troppo "vitali", ad esempio quella di hwupgrade. clicchi sul form, ti inviano un link per resettarla al volo, ne setti una nuova e buonanotte.
ecco, queste cose sono assolutamente fattibili in scenari passwordless, MA:
1 - qualcuno la implementerà MALE. sicuro.
2 - se il "coso" non è disponibile, rischia di essere un po' macchinosa.

non so in italia, ma qua (Francia ed Australia) sostanzialmente le banche già usano questi sistemi per validare le operazioni. compri qualcosa, ti arriva la notifica sull'app sul telefono, validi l'operazione ed il flusso prosegue.
i sistemi passwordless sono quello, esteso solo a più cose

Ragazzi, sono semplicemente delle chiavi private, stoccate in una specie di password manager, che, a differenza delle password normali, non escono mai dal password manager.
Basta fare un backup delle chiavi e, anche se ti si rompe il dispositivo di autenticazione, recuperi le chiavi dal backup.

Il problema, semmai, è che l'utente comune non è in grado di farsi il backup, quindi Google propone un sistema automatizzato in cui lui, nella sua infinita bontà, conserva sui suoi server il backup delle chiavi private con cui tu accedi a tutti i servizi a cui ti sei registrato...

Quindi sarà la fine di 1Password?

Quindi sarà la fine di 1Password?
Perché?
Nessuno ha detto che le password spariranno, e i gestori rimarranno con esse...
Alcuni si adatteranno per gestire anche queste passkey, altri no...

Mi sa che non ho capito.... se attivo passkey per il mio account Google avrò la possibilità di accedere ai servizi Google senza password, solo con autenticazione biometrica, giusto?
Google mi fornirà una chiave di backup che dovrò archiviare con un biglietto o con il mio buon 1Password, esatto?

La banca stessa cosa, altra chiave di backup.
Il sito "tal dei tali" stessa cosa.

Quindi ogni sito/app mi darà l’accesso con biometria e mi darà una chiave di backup.... Perciò 1Password dovrò sempre tenerlo con 7000000 di informazioni sostituendo però le info di account/password con una chiave di backup.

Giusto così o non c'ho proprio capito una fava?

Mi sa che non ho capito.... se attivo passkey per il mio account Google avrò la possibilità di accedere ai servizi Google senza password, solo con autenticazione biometrica, giusto?
Google mi fornirà una chiave di backup che dovrò archiviare con un biglietto o con il mio buon 1Password, esatto?

La banca stessa cosa, altra chiave di backup.
Il sito "tal dei tali" stessa cosa.

Quindi ogni sito/app mi darà l’accesso con biometria e mi darà una chiave di backup.... Perciò 1Password dovrò sempre tenerlo con 7000000 di informazioni sostituendo però le info di account/password con una chiave di backup.

Giusto così o non c'ho proprio capito una fava?

ma semplicemente diventerà un simil SPID

ma semplicemente diventerà un simil SPID

Non so bene cosa vuoi dire... abito all’estero e non so esattamente cosa sia SPID, ne come funzioni.

Non so bene cosa vuoi dire... abito all’estero e non so esattamente cosa sia SPID, ne come funzioni.

SPID è l'identità digitale italiana. praticamente ti serve per autenticarti a vari servizi statali senza inserire credenziali. una volta che hai l'app dello SPID configurata sul cell preposto allora potrai autenticarti ai vari servizi senza digitare alcuna password ma con autenticazione biometrica

Mi sa che non ho capito.... se attivo passkey per il mio account Google avrò la possibilità di accedere ai servizi Google senza password, solo con autenticazione biometrica, giusto?
Google mi fornirà una chiave di backup che dovrò archiviare con un biglietto o con il mio buon 1Password, esatto?

La banca stessa cosa, altra chiave di backup.
Il sito "tal dei tali" stessa cosa.

Quindi ogni sito/app mi darà l’accesso con biometria e mi darà una chiave di backup.... Perciò 1Password dovrò sempre tenerlo con 7000000 di informazioni sostituendo però le info di account/password con una chiave di backup.

Giusto così o non c'ho proprio capito una fava?
Semplificando all'estremo...
Ci sarà un gestore di passkey, che farà le veci di quello che adesso fa il password manager.
Quando ti registri ad un sito che, tra le opzioni, permette l'autenticazione tramite passkey, verrà creata una chiave associata a quel sito e dovrai salvarla nel tuo passkey manager (come fai già ora con le password).
Quando dovrai autenticarti su quel sito, il sito ti darà un codice momentaneo che dovrai dare in pasto al tuo passkey manager, che lo codificherà con la tua chiave, e rimanderà al sito il messaggio codificato che proverà che sei veramente tu. (mi pare fosse questa la procedura, non mi ricordo bene...)

L'autenticazione biometrica serve solo per poter usare il tuo passkey manager. Esattamente come adesso qualcuno usa l'impronta per aver accesso al suo password manager.

I codici di backup sono solo un'alternativa che alcuni siti offrono (di solito come 2FA), non sono necessari.
Necessario invece sarebbe fare il backup delle passkey, compito da fare manualmente, o da dare in mano a servizi automatizzati come quello di Google...

SPID è l'identità digitale italiana. praticamente ti serve per autenticarti a vari servizi statali senza inserire credenziali. una volta che hai l'app dello SPID configurata sul cell preposto allora potrai autenticarti ai vari servizi senza digitare alcuna password ma con autenticazione biometrica

capito....

quello che non ho capito è se ogni sito/app mi daranno una propria chiave di backup

capito....

quello che non ho capito è se ogni sito/app mi daranno una propria chiave di backup

la tua login è il tuo account passkey, il backup lo avrai solo del tuo passkey e non dei singoli siti

la tua login è il tuo account passkey, il backup lo avrai solo del tuo passkey e non dei singoli siti

Bene....

Adesso però voglio vedere come se la caverà 1Password che costa 30/40 euro all’anno.... per archiviare una passkey nessuno vorrà pagare.... È vero che puoi archiviare dati delle carte di credito e documenti, ma solo per questo meglio un servizio free

capito....

quello che non ho capito è se ogni sito/app mi daranno una propria chiave di backup
Non è che ti diano una chiave di backup...
Tra te e il sito, viene creata una coppia di chiavi, come in tutti i sistemi di crittografia asimmetrica.
Il sito si tiene una chiave, a te viene data l'altra.
Questa chiave che ti viene data, la metti nel passkey manager, e, per sicurezza, ne fai dei backup.

Poi, che il singolo sito voglia darti dei codici alternativi di backup è un altro discorso, non c'entra niente con le passkey, sarebbe semplicemente un altro modo di autenticarsi...

Non è che ti diano una chiave di backup...
Tra te e il sito, viene creata una coppia di chiavi, come in tutti i sistemi di crittografia asimmetrica.
Il sito si tiene una chiave, a te viene data l'altra.
Questa chiave che ti viene data, la metti nel passkey manager, e, per sicurezza, ne fai dei backup.

Poi, che il singolo sito voglia darti dei codici alternativi di backup è un altro discorso, non c'entra niente con le passkey, sarebbe semplicemente un altro modo di autenticarsi...
PAsskey manager sarebbe, ad esempio, 1password?

PAsskey manager sarebbe, ad esempio, 1password?
Sì, mi pare che quelli di 1password stiano già implementando il sistema, come anche quelli di Bitwarden.
Oppure utilizzi il sistema che dovrebbe offrirti Google, integrato direttamente in Android...

Io credo che anche la passkey rimanga potenzialmente vulnerabile. Se un malintenzionato riesce a fingerprintare il tuo dispositivo hardware, non gli sarà difficile decriptare la passkey. Ed esistono tecniche sofisticatissime già oggi che permettono una tale (invasiva) profilazione dei nostri dispositivi. Molti siti web addirittura sanno quale scheda video e quale cpu sono legate al nostro IP, e persino quanta ram e che modello usiamo. E spaventoso quello che si può fare col fingerprinting

Esatto, infatti bisognerebbe criptare anche il dispositivo hardware che si usa per navigare su internet. Ma è una cosa che in pochi fanno (anzi praticamente quasi nessuno, specie tra noi utenti domestici). Un pò come funziona la tecnologia blockchain o quando si crea un wallet desktop per crypto ancorandolo ad un dispositivo. È l'unico meccanismo di difesa veramente efficace se si vuole passare alle passkey. Ovviamente con crittografia military grade di almeno 256 bit AES

Ho provato ad abilitare il Passkey nel mio account Google ed è andato tutto bene. Tramite lo smartphone inquadro il Qrcode che mi fornisce in fase di login e sono dentro.
Mi sono sloggato ed ho provato ad accedere con un altro metodo e mi appare "Accedi con password" :mbe: Sono entrato comunque...
Avevo capito che venisse disabilitata questa possibilità, proprio per rendere più sicuro il sistema in quanto nome utente e password possono essere rubati.

Quindi diventa solo un sistema più comodo oppure non lo hanno ancora implementato al 100%?

PAsskey manager sarebbe, ad esempio, 1password?

1password abiliterà questa funzione nel corso di quest’anno.
https://www.future.1password.com/passkeys/

Al momento ios e Mac password lo integra e non so so quello di Android ma do per scontato di si

Ho provato ad abilitare il Passkey nel mio account Google ed è andato tutto bene. Tramite lo smartphone inquadro il Qrcode che mi fornisce in fase di login e sono dentro.
Mi sono sloggato ed ho provato ad accedere con un altro metodo e mi appare "Accedi con password" :mbe: Sono entrato comunque...
Avevo capito che venisse disabilitata questa possibilità, proprio per rendere più sicuro il sistema in quanto nome utente e password possono essere rubati.

Quindi diventa solo un sistema più comodo oppure non lo hanno ancora implementato al 100%?
I due sistemi di autenticazione possono coesistere...
Come gli OTP, che puoi farteli inviare per sms, email, tramite app, oppure tutti insieme...
Non so, magari nelle opzioni di Google c'è un modo di disabilitare utente e password?
Oppure imposti una password lunghissima, tanto non devi usarla...

No grazie.

Se mi si rompe il "coso" hardware che faccio? perdo l'accesso all'account forever? mi devo comprare multipli "cosi" hardware nel caso uno si rompa? e se ci fossero altri sistemi per recuperare l'accesso in quel caso, cosa impedisce ai malintenzionati di usare i suddetti sistemi per bypassare la protezione? e se qualcuno mi frega il "coso" hardware che faccio? mi attacco la tram? almeno una password se sono in grado la posso memorizzare e nessuno me la può rubare facilmente da dentro la mia testa

della serie: ragazzi posso inventarmi un problema per ogni soluzione che trovate :D

Non capisco il problema di tutti quelli che stanno scrivendo "EEEH MA SE...", "EEEEEH SE, MA...". Qui non si parla di un sistema di sicurezza in più o migliore, ma della comodità di non inserire ogni volta la password.
Quello che (io) già faccio con le app IO, SPID, Ticket Restaurant, della banca, e tanti altri, semplicemente ora l'ha implementato anche Google.
Non è nulla di così stravolgente. :)

:D

1password abiliterà questa funzione nel corso di quest’anno.
https://www.future.1password.com/passkeys/

Al momento ios e Mac password lo integra e non so so quello di Android ma do per scontato di si

grazie per l’info

Ho provato ad abilitare il Passkey nel mio account Google ed è andato tutto bene. Tramite lo smartphone inquadro il Qrcode che mi fornisce in fase di login e sono dentro.

Buon per te, io sto provando con entrambi i telefoni che ho associati all'account google, mi appare che una notifica è stata inviata al telefono, comincia a girare una rotella con il messaggio di avvicinare il telefono al computer e dopo un po' dice che c'è stato un errore non specificato e che l'operazione è fallita...

Non capisco questa cosa di avvicinare il telefono al pc, serve il bluetooth? Ho provato a spegnerlo sul telefono e non mi appare nessun avviso in cui mi chiede di accenderlo, serve che i dispositivi siano sotto la stessa rete wifi? non pare cambiare nulla ma magri farò altre prove...

Buon per te, io sto provando con entrambi i telefoni che ho associati all'account google, mi appare che una notifica è stata inviata al telefono, comincia a girare una rotella con il messaggio di avvicinare il telefono al computer e dopo un po' dice che c'è stato un errore non specificato e che l'operazione è fallita...

Non capisco questa cosa di avvicinare il telefono al pc, serve il bluetooth? Ho provato a spegnerlo sul telefono e non mi appare nessun avviso in cui mi chiede di accenderlo, serve che i dispositivi siano sotto la stessa rete wifi? non pare cambiare nulla ma magri farò altre prove...
Infatti, non ha alcun senso...:D

A meno che intendano per inquadrare il QRcode...

per curiosità ho fatto una prova e mi aspettavo un funzionamento simile (se non identico) allo spid. e invece sul pc non mi appare la possibilità di usare passkey se provo a loggarmi al mio profilo google. italia 1 google 0

Comunque confermo che richiede la connessione bluetooth, avevo provato a spegnerla sui telefoni ma non sul pc...

https://i.ibb.co/9hHnVPz/blu.gif (https://imgbb.com/)

ho fatto quindi altre prove provando a disassociare i dispositivi per poi riassociarli... non è cambiato nulla, ma magari è il modulo bluetooth di questo vecchio portatile che ha problemi...

per quanto dubito possano servire metto anche due screen presi dal telefono:

https://i.ibb.co/NCwxQ2t/Screenshot-20230508-115240-Chrome.jpg (https://ibb.co/NCwxQ2t)

https://i.ibb.co/9NNX42C/Screenshot-20230508-114952-Chrome.jpg (https://ibb.co/9NNX42C)

L'unico senso che mi verrebbe in mente, è che venga utilizzato il bluetooth per passare il messaggio da codificare, dal pc al passkey manager del telefono.
Al posto di passarlo tramite QR, insomma, lo passerebbe via bluetooth.
Ma dovrebbe essere una scelta, sai che rottura se dovessi obbligatoriamente abbinarti via bluetooth per ogni autenticazione...

...sostanzialmente le banche già usano questi sistemi per validare le operazioni. compri qualcosa, ti arriva la notifica sull'app sul telefono, validi l'operazione ed il flusso prosegue.
i sistemi passwordless sono quello, esteso solo a più cose

ah, beh, allora siamo sicuri proprio...:rolleyes:
anzichè un codice che conosco solo io la sicurezza è affidata ad un oggetto che si perde o viene rubato facilissimamente...