Addio alle password anche sugli account Google: come funzionano le passkey e come abilitarle

[marantz]

Tanto vale a questo punto che ci infilino un RFID sottopelle (per non dire altrove), in modo da essere autenticati in quanto "vivi". Il futuro non può che essere questo, esseri umani "taggati" alla nascita. Altrimenti saremo sempre dipendenti da un "coso" senza il quale non avremo nemmeno più diritti.

[redeagle]

Quote:

Originariamente inviato da redeagle

Non capisco il problema di tutti quelli che stanno scrivendo "EEEH MA SE...", "EEEEEH SE, MA...". Qui non si parla di un sistema di sicurezza in più o migliore, ma della comodità di non inserire ogni volta la password.
Quello che (io) già faccio con le app IO, SPID, Ticket Restaurant, della banca, e tanti altri, semplicemente ora l'ha implementato anche Google.
Non è nulla di così stravolgente.

Quote:

Originariamente inviato da TorettoMilano

questo servizio non inserisce password

Eh.

[marcram]

Quote:

Originariamente inviato da cronos1990

Non mi sono ancora informato su come funziona questo sistema, ma l'idea di fondo è analoga a Google Authenticator.

Ovvero, anche per quell'applicazione, e per gli stessi motivi (la sicurezza) tutti i dati sono salvati solo in locale, e non viene inviato alcun tipo di dato. Se però il cellulare per qualche motivo ti va al creatore e non puoi più accedere, non è un problema.

O meglio: diventa una rottura sistemare tutto ma non è un problema. Banalmente, devi andare sul sito (o quel che è) di ogni singola entità con la quale hai attivato la doppia autentificazione con Google Authenticator, e disattivarla da li.
Per dire, se ce l'hai con Amazon (esempio), vai sul tuo account Amazon e disattivi l'autentificazione in due passaggi. Poi quando ottieni il nuovo cellulare, semplicemente la riattivi. Chiaro che se hai parecchi servizi diventa una cosa logorante, ma nulla di problematico.

Non è per nulla necessario.
Fai il backup dei seed, se il cellulare muore recuperi il backup salvato altrove.
Fine.

[TorettoMilano]

Quote:

Originariamente inviato da redeagle

Eh.

non sapevo ci fossero app bancarie in cui fosse possibile autenticarsi senza password, ma effettivamente cercando sul web sembra alcune permettano il login tramite spid (tipo banca sella). mia ignoranza. per i ticket restaurant hai accesso con lo spid?

[Silent Bob]

Quote:

Originariamente inviato da redeagle

Qui non si parla di un sistema di sicurezza in più o migliore, ma della comodità di non inserire ogni volta la password.

tecnicamente la password non la devi per forza inserire ogni volta, O, in altri casi, se è un qualcosa che usi ogni tanto, averla a portata di mano in quel momento.

[david-1]

Quote:

Originariamente inviato da lollo9

no ma tranquillo proprio, gli esperti di sicurezza sono solo una manica d'incompetenti a consigliare i sistemi passwordless

il "coso" è semplicemente uno dei tuoi possibili dispositivi con autenticazione biometrica.
un PC con windows hello, praticamente ogni smartphone, un dongle dedicato (decisamente poco comodo), un'app di autenticazione (poco comoda), un Mac con l'autenticazione biometrica ecc.

se si rompe, hai le one time password, vengono generate, te le salvi offline e sono un passe-partout universale come ci sono già oggi per recuperare gli authenticator perduti, gli account dropbox/steam/banca/gmail ecc.

se uno non ne ha generate, se uno le ha perdute ecc. è esattamente nella stessa medesima situazione di oggi quando uno dimentica la password senza possibilità di recupero.
la password paypal ad esempio, se uno ha gli account "nativi" (cioè non "login with google" e simili), ti tocca scrivergli, inviargli un documento di identità e tutta la trafila. e forse ti sbloccano l'account. forse.

i sistemi passwordless li hanno inventati perché per non diventare matti sempre più servizi si appoggiano ad altri servizi terzi per l'autenticazione ed autorizzazione (google, facebook e microsoft su tutti). e più che lo si fa, più aumenta il rischio.
passando da un'autenticazione biometrica si toglie un bel pezzo dalla superficie attaccabile: le password sotto sotto esistono sempre ma non si conoscono. è meglio per tutti.
immagina oggi usare l'account google per accedere a 350 servizi, se ti ciulano quello è finita. qui giocano la partica i sistemi passwordless.

c'è una letteratura ormai molto corposa a riguardo.

la scocciatura potenziale c'è, ed è il recupero password "ordinario".
intendo dire, oggi giorno uno dimentica una pass qualunque non di account troppo "vitali", ad esempio quella di hwupgrade. clicchi sul form, ti inviano un link per resettarla al volo, ne setti una nuova e buonanotte.
ecco, queste cose sono assolutamente fattibili in scenari passwordless, MA:
1 - qualcuno la implementerà MALE. sicuro.
2 - se il "coso" non è disponibile, rischia di essere un po' macchinosa.

non so in italia, ma qua (Francia ed Australia) sostanzialmente le banche già usano questi sistemi per validare le operazioni. compri qualcosa, ti arriva la notifica sull'app sul telefono, validi l'operazione ed il flusso prosegue.
i sistemi passwordless sono quello, esteso solo a più cose

Quote:

Originariamente inviato da marcram

Ragazzi, sono semplicemente delle chiavi private, stoccate in una specie di password manager, che, a differenza delle password normali, non escono mai dal password manager.
Basta fare un backup delle chiavi e, anche se ti si rompe il dispositivo di autenticazione, recuperi le chiavi dal backup.

Il problema, semmai, è che l'utente comune non è in grado di farsi il backup, quindi Google propone un sistema automatizzato in cui lui, nella sua infinita bontà, conserva sui suoi server il backup delle chiavi private con cui tu accedi a tutti i servizi a cui ti sei registrato...

Quindi sarà la fine di 1Password?

[marcram]

Quote:

Originariamente inviato da david-1

Quindi sarà la fine di 1Password?

Perché?
Nessuno ha detto che le password spariranno, e i gestori rimarranno con esse...
Alcuni si adatteranno per gestire anche queste passkey, altri no...

[david-1]

Mi sa che non ho capito.... se attivo passkey per il mio account Google avrò la possibilità di accedere ai servizi Google senza password, solo con autenticazione biometrica, giusto?
Google mi fornirà una chiave di backup che dovrò archiviare con un biglietto o con il mio buon 1Password, esatto?

La banca stessa cosa, altra chiave di backup.
Il sito "tal dei tali" stessa cosa.

Quindi ogni sito/app mi darà l’accesso con biometria e mi darà una chiave di backup.... Perciò 1Password dovrò sempre tenerlo con 7000000 di informazioni sostituendo però le info di account/password con una chiave di backup.

Giusto così o non c'ho proprio capito una fava?

[TorettoMilano]

Quote:

Originariamente inviato da david-1

Mi sa che non ho capito.... se attivo passkey per il mio account Google avrò la possibilità di accedere ai servizi Google senza password, solo con autenticazione biometrica, giusto?
Google mi fornirà una chiave di backup che dovrò archiviare con un biglietto o con il mio buon 1Password, esatto?

La banca stessa cosa, altra chiave di backup.
Il sito "tal dei tali" stessa cosa.

Quindi ogni sito/app mi darà l’accesso con biometria e mi darà una chiave di backup.... Perciò 1Password dovrò sempre tenerlo con 7000000 di informazioni sostituendo però le info di account/password con una chiave di backup.

Giusto così o non c'ho proprio capito una fava?

ma semplicemente diventerà un simil SPID

[david-1]

Quote:

Originariamente inviato da TorettoMilano

ma semplicemente diventerà un simil SPID

Non so bene cosa vuoi dire... abito all’estero e non so esattamente cosa sia SPID, ne come funzioni.

[TorettoMilano]

Quote:

Originariamente inviato da david-1

Non so bene cosa vuoi dire... abito all’estero e non so esattamente cosa sia SPID, ne come funzioni.

SPID è l'identità digitale italiana. praticamente ti serve per autenticarti a vari servizi statali senza inserire credenziali. una volta che hai l'app dello SPID configurata sul cell preposto allora potrai autenticarti ai vari servizi senza digitare alcuna password ma con autenticazione biometrica

[marcram]

Quote:

Originariamente inviato da david-1

Mi sa che non ho capito.... se attivo passkey per il mio account Google avrò la possibilità di accedere ai servizi Google senza password, solo con autenticazione biometrica, giusto?
Google mi fornirà una chiave di backup che dovrò archiviare con un biglietto o con il mio buon 1Password, esatto?

La banca stessa cosa, altra chiave di backup.
Il sito "tal dei tali" stessa cosa.

Quindi ogni sito/app mi darà l’accesso con biometria e mi darà una chiave di backup.... Perciò 1Password dovrò sempre tenerlo con 7000000 di informazioni sostituendo però le info di account/password con una chiave di backup.

Giusto così o non c'ho proprio capito una fava?

Semplificando all'estremo...
Ci sarà un gestore di passkey, che farà le veci di quello che adesso fa il password manager.
Quando ti registri ad un sito che, tra le opzioni, permette l'autenticazione tramite passkey, verrà creata una chiave associata a quel sito e dovrai salvarla nel tuo passkey manager (come fai già ora con le password).
Quando dovrai autenticarti su quel sito, il sito ti darà un codice momentaneo che dovrai dare in pasto al tuo passkey manager, che lo codificherà con la tua chiave, e rimanderà al sito il messaggio codificato che proverà che sei veramente tu. (mi pare fosse questa la procedura, non mi ricordo bene...)

L'autenticazione biometrica serve solo per poter usare il tuo passkey manager. Esattamente come adesso qualcuno usa l'impronta per aver accesso al suo password manager.

I codici di backup sono solo un'alternativa che alcuni siti offrono (di solito come 2FA), non sono necessari.
Necessario invece sarebbe fare il backup delle passkey, compito da fare manualmente, o da dare in mano a servizi automatizzati come quello di Google...

[david-1]

Quote:

Originariamente inviato da TorettoMilano

SPID è l'identità digitale italiana. praticamente ti serve per autenticarti a vari servizi statali senza inserire credenziali. una volta che hai l'app dello SPID configurata sul cell preposto allora potrai autenticarti ai vari servizi senza digitare alcuna password ma con autenticazione biometrica

capito....

quello che non ho capito è se ogni sito/app mi daranno una propria chiave di backup

[TorettoMilano]

Quote:

Originariamente inviato da david-1

capito....

quello che non ho capito è se ogni sito/app mi daranno una propria chiave di backup

la tua login è il tuo account passkey, il backup lo avrai solo del tuo passkey e non dei singoli siti

[david-1]

Quote:

Originariamente inviato da TorettoMilano

la tua login è il tuo account passkey, il backup lo avrai solo del tuo passkey e non dei singoli siti

Bene....

Adesso però voglio vedere come se la caverà 1Password che costa 30/40 euro all’anno.... per archiviare una passkey nessuno vorrà pagare.... È vero che puoi archiviare dati delle carte di credito e documenti, ma solo per questo meglio un servizio free

[marcram]

Quote:

Originariamente inviato da david-1

capito....

quello che non ho capito è se ogni sito/app mi daranno una propria chiave di backup

Non è che ti diano una chiave di backup...
Tra te e il sito, viene creata una coppia di chiavi, come in tutti i sistemi di crittografia asimmetrica.
Il sito si tiene una chiave, a te viene data l'altra.
Questa chiave che ti viene data, la metti nel passkey manager, e, per sicurezza, ne fai dei backup.

Poi, che il singolo sito voglia darti dei codici alternativi di backup è un altro discorso, non c'entra niente con le passkey, sarebbe semplicemente un altro modo di autenticarsi...

[david-1]

Quote:

Originariamente inviato da marcram

Non è che ti diano una chiave di backup...
Tra te e il sito, viene creata una coppia di chiavi, come in tutti i sistemi di crittografia asimmetrica.
Il sito si tiene una chiave, a te viene data l'altra.
Questa chiave che ti viene data, la metti nel passkey manager, e, per sicurezza, ne fai dei backup.

Poi, che il singolo sito voglia darti dei codici alternativi di backup è un altro discorso, non c'entra niente con le passkey, sarebbe semplicemente un altro modo di autenticarsi...

PAsskey manager sarebbe, ad esempio, 1password?

[marcram]

Quote:

Originariamente inviato da david-1

PAsskey manager sarebbe, ad esempio, 1password?

Sì, mi pare che quelli di 1password stiano già implementando il sistema, come anche quelli di Bitwarden.
Oppure utilizzi il sistema che dovrebbe offrirti Google, integrato direttamente in Android...

[yuribian]

Quote:

Originariamente inviato da silvanotrevi

Io credo che anche la passkey rimanga potenzialmente vulnerabile. Se un malintenzionato riesce a fingerprintare il tuo dispositivo hardware, non gli sarà difficile decriptare la passkey. Ed esistono tecniche sofisticatissime già oggi che permettono una tale (invasiva) profilazione dei nostri dispositivi. Molti siti web addirittura sanno quale scheda video e quale cpu sono legate al nostro IP, e persino quanta ram e che modello usiamo. E spaventoso quello che si può fare col fingerprinting

Esatto, infatti bisognerebbe criptare anche il dispositivo hardware che si usa per navigare su internet. Ma è una cosa che in pochi fanno (anzi praticamente quasi nessuno, specie tra noi utenti domestici). Un pò come funziona la tecnologia blockchain o quando si crea un wallet desktop per crypto ancorandolo ad un dispositivo. È l'unico meccanismo di difesa veramente efficace se si vuole passare alle passkey. Ovviamente con crittografia military grade di almeno 256 bit AES

[GogetaSSJ]

Ho provato ad abilitare il Passkey nel mio account Google ed è andato tutto bene. Tramite lo smartphone inquadro il Qrcode che mi fornisce in fase di login e sono dentro.
Mi sono sloggato ed ho provato ad accedere con un altro metodo e mi appare "Accedi con password" Sono entrato comunque...
Avevo capito che venisse disabilitata questa possibilità, proprio per rendere più sicuro il sistema in quanto nome utente e password possono essere rubati.

Quindi diventa solo un sistema più comodo oppure non lo hanno ancora implementato al 100%?