Link alla notizia: https://www.hwupgrade.it/news/apple/google-addio-password-le-passkey-saranno-presto-l-opzione-predefinita_120822.html

Google ha annunciato che renderà le passkey l'opzione predefinita per l'accesso agli account personali, semplificando l'accesso futuro degli utenti. La novità arriva dopo che l'azienda ha aggiunto il supporto su Android e Chrome negli ultimi mesi.

Click sul link per visualizzare la notizia.

l' "addio password" nel titolo è un pò forzato, magari era meglio usare "addio password come opzione predefinita"

ad ogni modo mi pare ste passkey siano effettivamente più comode e sicure, benvenga questo aggiornamento

Bellissimo, per l'autenticazione biometrica vedranno la fila di clienti che aspettano impazienti di dare questi dati nelle loro mani.

Bellissimo, per l'autenticazione biometrica vedranno la fila di clienti che aspettano impazienti di dare questi dati nelle loro mani.

? l'autenticazione biometrica è la stessa per sbloccare il telefono e non una aggiuntiva.
se sblocchi già il telefono tramite autenticazione biometrica a attivi passkey non stai lasciando nulla online dei tuoi dati biometrici. ho provato ora da iphone per conferma

Su iPhone, almeno in teoria, i dati biometrici sono salvati su un chip di memoria separato e non accessibile dall'esterno.
Su Android non saprei.

Il problema più grande è che tutto viene centralizzato sullo smartphone: se mi si rompe, o me lo rubano non accedo più da nessuna parte :muro:

Secondo quanto ho letto online, però, basterebbe accedere all'account Google per recuperarla, quindi è ancora peggio: significa che in caso di falla Google o chiunque abbia accesso al mio account lo avrà anche a tutto il resto :muro:

Su iPhone, almeno in teoria, i dati biometrici sono salvati su un chip di memoria separato e non accessibile dall'esterno.
Su Android non saprei.

Il problema più grande è che tutto viene centralizzato sullo smartphone: se mi si rompe, o me lo rubano non accedo più da nessuna parte :muro:

Basterebbe implementare policy restrittive nella scelta delle password per renderle molto più sicure.

come in tutti i sistemi di autenticazione ci sarà un sistema di backup, non ti va passkey allora inserisci le credenziali. puoi stare tranquillo

Su iPhone, almeno in teoria, i dati biometrici sono salvati su un chip di memoria separato e non accessibile dall'esterno.
Su Android non saprei.

Chip Titan sui Pixel.

Poter accedere alle mail e ai servizi anche se si perde il telefonino mi sembra una richiesta legittima. Leggo nelle FAQ che backup in caso di perdita del telefono è garantito dai dispositivi sincronizzati. Quindi per che ha solo un dispositivo vedo questa transizione è piuttosto rischiosa. O mi sfugge qualcosa?

Poter accedere alle mail e ai servizi anche se si perde il telefonino mi sembra una richiesta legittima. Leggo nelle FAQ che backup in caso di perdita del telefono è garantito dai dispositivi sincronizzati. Quindi per che ha solo un dispositivo vedo questa transizione è piuttosto rischiosa. O mi sfugge qualcosa?

nelle faq è precisato quanto dicevo prima. ad ora non è previsto eliminare la classica autenticazione con la password

e aggiungo anche la mie domande:
1) se oggi uso il dispositivo X (esempio iPhone) col "suo" sistema di generazione/salvataggio delle passkeys (iCloud Keychain), che succede se domani voglio passare ad Android? devo ricreare da 0 tutte le passkeys per ogni sito/servizio per cui le ho create? o si possono "esportare" da un sistema (iOS) ad un altro (Android)? perché a 'sto punto sono più comode le password. anche con un gestore di terzi, c'è sempre la possibilità di salvarle in modo "grezzo" ed importarle in un altro gestore
2) se uso un servizio terzi, esempio 1Password, tecnicamente è "indipendente" dal dispositivo (iOS/Android) utilizzato e quindi più "portabile". ma anche qui, se decido di passare ad un altro servizio (di terzi o "nativo" del dispositivo), come le "passo" le passkeys? tocca rigenerarle?

domande stupide? :stordita:

e aggiungo anche la mie domande:
1) se oggi uso il dispositivo X (esempio iPhone) col "suo" sistema di generazione/salvataggio delle passkeys (iCloud Keychain), che succede se domani voglio passare ad Android? devo ricreare da 0 tutte le passkeys per ogni sito/servizio per cui le ho create? o si possono "esportare" da un sistema (iOS) ad un altro (Android)? perché a 'sto punto sono più comode le password. anche con un gestore di terzi, c'è sempre la possibilità di salvarle in modo "grezzo" ed importarle in un altro gestore
2) se uso un servizio terzi, esempio 1Password, tecnicamente è "indipendente" dal dispositivo (iOS/Android) utilizzato e quindi più "portabile". ma anche qui, se decido di passare ad un altro servizio (di terzi o "nativo" del dispositivo), come le "passo" le passkeys? tocca rigenerarle?

domande stupide? :stordita:
No, perché stupide?
Semplicemente dipende dal "portachiavi" che usi. Se ha il sistema per esportarle, allora puoi spostarle da un portachiavi ad un altro. O farne una copia di backup.
Alla fine, sono delle semplici chiavi di crittazione.
Devi vedere programma per programma, cosa permette di fare con le chiavi.

non ho capito, cosa sono le passkey? :fagiano:

e aggiungo anche la mie domande:
1) se oggi uso il dispositivo X (esempio iPhone) col "suo" sistema di generazione/salvataggio delle passkeys (iCloud Keychain), che succede se domani voglio passare ad Android? devo ricreare da 0 tutte le passkeys per ogni sito/servizio per cui le ho create? o si possono "esportare" da un sistema (iOS) ad un altro (Android)? perché a 'sto punto sono più comode le password. anche con un gestore di terzi, c'è sempre la possibilità di salvarle in modo "grezzo" ed importarle in un altro gestore
2) se uso un servizio terzi, esempio 1Password, tecnicamente è "indipendente" dal dispositivo (iOS/Android) utilizzato e quindi più "portabile". ma anche qui, se decido di passare ad un altro servizio (di terzi o "nativo" del dispositivo), come le "passo" le passkeys? tocca rigenerarle?

domande stupide? :stordita:


1) immagino il passaggio da dispositivo a dispositivo del passkey sia come alcune applicazioni in cui è permesso accedere solo su un dispositivo (mi viene in mente telepass). se ti colleghi su un nuovo dispositivo ti chieda conferma sul vecchio per il passaggio e in automatico viene disattivato. ovviamente è una mia supposizione

2) https://www.future.1password.com/passkeys/
dalla tabella quasi alla fine sembra sia multipiattaforma

non ho capito, cosa sono le passkey? :fagiano:

hai presente lo spid? ecco, uguale :D

non ho capito, cosa sono le passkey? :fagiano:

un nuovo termine per dire autorizzazione mediante certificati a chiave asimmetrica :D

lol, mi fate un esempio di use-case?


se accendo un nuovo smartphone e aggiungo per la prima volta l'account google, cosa dovrebbe succedere?

devo mettere la password, no?

:(

lol, mi fate un esempio di use-case?


se accendo un nuovo smartphone e aggiungo per la prima volta l'account google, cosa dovrebbe succedere?

devo mettere la password, no?

:(

configuri il tuo account normalmente e poi segui la procedura per configurare passkey.
d'ora in poi su quello smartphone dal browser ti basterà mettere solo la mail e poi autenticarti con passkey (su iphone rimarrà memorizzata su icloud).
invece se vuoi autenticarti sul pc dovrai collegare il dispositivo per autenticarti non so se tramite usb o bluetooth. non ho provato. spero implementino l'autenticazione tramite qr code come lo spid

provando ora su pc mi chiede di collegare il dispositivo tramite usb.
sul sito apple invece già cita la possibilità del qr code, a quanto pare non è abilitata ancora
https://support.apple.com/it-it/guide/iphone/iphf538ea8d0/ios

1) immagino il passaggio da dispositivo a dispositivo del passkey sia come alcune applicazioni in cui è permesso accedere solo su un dispositivo (mi viene in mente telepass). se ti colleghi su un nuovo dispositivo ti chieda conferma sul vecchio per il passaggio e in automatico viene disattivato. ovviamente è una mia supposizione

2) https://www.future.1password.com/passkeys/
dalla tabella quasi alla fine sembra sia multipiattaforma


si 1Password è già multipiattaforma e se si usano le passkeys sono salvate nel cloud si 1Password, quindi indipendentemente da dove si accede, la "convalida" avviene col dispositivo dove c'è l'autenticazione biometrica, e quindi immagino che passare da un iPhone ad un Android o viceversa, se si usa 1Password (o servizi equivalenti) possa essere "più facile".
ma la "grossa" questione è: se abbandono 1Password per passare a Google? o a iCloud Keychain? o partendo da uno degli ultimi due andando verso l'altro?
non trovo da nessuna parte qualcosa che dica nero su bianco "devi reimpostare tutte le passkeys" piuttosto che "si possono esportare/importare".
mi sembra nebuloso.
ma magari sono io che non ho trovato info chiare in merito.

con le care vecchie password sono passato da Chrome a Lastpass (abbandonato perché bucato più volte) a iCloud Keychain a 1Password.
il tutto con semplici "export/import" delle pwd.
non trovo info su come fare una cosa simile (se possibile) con le passkeys.
non vorrei "legarmi" ad un metodo di autenticazione che poi si rilevi più "scomodo" in caso di furto/smarrimento/migrazione tra sistemi.

Tutto molto bello, ma in sintesi, a parte situazioni transitorie, per essere protetti dal furto o smarrimento del telefonino bisognerà:

* avere un secondo dispositivo di autenticazione biometrica (esempio tablet smartwatch)

oppure

* poter attivare l'autenticazione su un nuovo dispositivo a partire da una certa procedura (call center?)

Cosa che già accade con lo SPID. Personalmente trovo tutto ciò ancora non ottimale.

si 1Password è già multipiattaforma e se si usano le passkeys sono salvate nel cloud si 1Password, quindi indipendentemente da dove si accede, la "convalida" avviene col dispositivo dove c'è l'autenticazione biometrica, e quindi immagino che passare da un iPhone ad un Android o viceversa, se si usa 1Password (o servizi equivalenti) possa essere "più facile".
ma la "grossa" questione è: se abbandono 1Password per passare a Google? o a iCloud Keychain? o partendo da uno degli ultimi due andando verso l'altro?
non trovo da nessuna parte qualcosa che dica nero su bianco "devi reimpostare tutte le passkeys" piuttosto che "si possono esportare/importare".
mi sembra nebuloso.
ma magari sono io che non ho trovato info chiare in merito.

con le care vecchie password sono passato da Chrome a Lastpass (abbandonato perché bucato più volte) a iCloud Keychain a 1Password.
il tutto con semplici "export/import" delle pwd.
non trovo info su come fare una cosa simile (se possibile) con le passkeys.
non vorrei "legarmi" ad un metodo di autenticazione che poi si rilevi più "scomodo" in caso di furto/smarrimento/migrazione tra sistemi.

vabbè ti leghi al metodo a te più congeniale, quando il tutto verrà ultimato si valuterà. sono ottimista sul fatto i vari trasferimenti siano veloci come dicevo prima

Tutto molto bello, ma in sintesi, a parte situazioni transitorie, per essere protetti dal furto o smarrimento del telefonino bisognerà:

* avere un secondo dispositivo di autenticazione biometrica (esempio tablet smartwatch)

oppure

* poter attivare l'autenticazione su un nuovo dispositivo a partire da una certa procedura (call center?)

Cosa che già accade con lo SPID. Personalmente trovo tutto ciò ancora non ottimale.

personalmente di questi tempi ritengo obbligatorio avere un secondo dispositivo, banalmente io ce l'ho per potenzialmente tracciare il mio iphone se lo perdo o me lo rubano. utilizzarlo pure come riserva per il keypass mi verrebbe pure comodo

con lo spid non ricordo di aver dovuto chiamare nessun call center, non ricordo se dovevo dare l'ok sul vecchio disposito ma ricordo di averci messo un secondo

Continuo a pensare che mettere tutto in un unico posto (il telefono, o un account con cui accedi a tutto) sia una pessima idea.
Mi ricorda i tempi del registro di XP.

... segnando un ulteriore passo verso l'abbandono delle password tradizionali, spesso poco sicure, per il log-in al servizio
Se la password è 123456 è garantito sia poco sicura. E IMHO qualunque servizio dovrebbe rifiutare password banali, corte e senza la combinazione lettere maiuscole-minuscole/numeri/caratteri speciali.

1) se oggi uso il dispositivo X (esempio iPhone) col "suo" sistema di generazione/salvataggio delle passkeys (iCloud Keychain), che succede se domani voglio passare ad Android?

Probabilmente ci sarà modo di esportarle. Così, come dicevo, chiunque abbia accesso al telefono può accedere a qualsiasi sito.

Attualmente me ne sto bene con Vaultwarden protetto da 2FA:
1 - OTP Salvato e disponibile su diversi dispositivi, oltre che resettabile fisicamente dalla VM.
2 - Password complessa che ho imparato a memoria.

Tutto il resto sono password di 64 caratteri generate casualmente con maiuscole/minuscole/numeri e caratteri speciali.

Se la password è 123456 è garantito sia poco sicura. E IMHO qualunque servizio dovrebbe rifiutare password banali, corte e senza la combinazione lettere maiuscole-minuscole/numeri/caratteri speciali.

Aggiungerei le parole compiute per evitare gli attacchi da dizionario.

C'è il metodo delle iniziali che è ottimo per creare password complesse e facili da ricordare.

Mi sembra tutto molto interessante, finché non ti rubano il telefono e quando tenti di accedere da un altro oggetto per cercare di usare il "trova il mio telefono" ti dicono di autorizzare l'accesso toccando la notifica oppure mandando un sms, ovviamente entrambe le opzioni verso il telefono rubato.

Continuo a pensare che mettere tutto in un unico posto (il telefono, o un account con cui accedi a tutto) sia una pessima idea.
Mi ricorda i tempi del registro di XP.

Mi sembra tutto molto interessante, finché non ti rubano il telefono e quando tenti di accedere da un altro oggetto per cercare di usare il "trova il mio telefono" ti dicono di autorizzare l'accesso toccando la notifica oppure mandando un sms, ovviamente entrambe le opzioni verso il telefono rubato.

tieni a casa in un cassetto un secondo smartphone impostato come backup, come dicevo prima io già lo ho proprio per rintracciare il mio iphone 13 mini nel caso venga smarrito/rubato (è tracciabile pure da spento/scarico)

ottime le passkey, quando funzionano (quella di microsoft ad esempio NON funziona)