Addio alle password anche sugli account Google: come funzionano le passkey e come abilitarle

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/web/ad...le_116414.html

Google ha annunciato che l'accesso via passkey è adesso disponibile su tutti gli account Google (non ancora sugli account Workspace). Ecco come funzionano e come abilitarle sui propri dispositivi compatibili

Click sul link per visualizzare la notizia.

[Hiei3600]

No grazie.

Se mi si rompe il "coso" hardware che faccio? perdo l'accesso all'account forever? mi devo comprare multipli "cosi" hardware nel caso uno si rompa? e se ci fossero altri sistemi per recuperare l'accesso in quel caso, cosa impedisce ai malintenzionati di usare i suddetti sistemi per bypassare la protezione? e se qualcuno mi frega il "coso" hardware che faccio? mi attacco la tram? almeno una password se sono in grado la posso memorizzare e nessuno me la può rubare facilmente da dentro la mia testa

[Silent Bob]

Anche io passo per il medesimo motivo. Anche se ho un amico che già fa una cosa del genere sul suo telefono e non gli ho voluto fare apposta la medesima domanda, se ti si sfancula il telefono, che fai?

[david-1]

Quote:

Originariamente inviato da Silent Bob

Anche io passo per il medesimo motivo. Anche se ho un amico che già fa una cosa del genere sul suo telefono e non gli ho voluto fare apposta la medesima domanda, se ti si sfancula il telefono, che fai?

Credo che tu possa comunque entrare "alla vecchia" o avere un dispositivo di backup... credo... sentiamo qualcuno che sa più di me

[h.rorschach]

Se si rompe / perde / ruba il dispositivo hardware è normale perdere accesso all'account: è il suo scopo. Per recuperarlo esistono una serie di codici monouso che vengono allocati all'abilitazione del fattore di autenticazione hardware. Codici che in teoria andrebbero tenuti in posti sicuri ed utilizzati solo per recuperare un account con un hardware token compromesso, insieme ad altri dati personali.

La domanda ovvia è: "ma se bastano questi codici per recuperare un account, in che modo questo è più sicuro di una password?"

La risposta è: i codici necessitano di altri dati di autenticazione (ad esempio un link da cliccare inviato alla casella di posta) e sono estremamente complessi (non indovinabili come purtroppo troppe password possono esserlo)

[lollo9]

Quote:

Originariamente inviato da Hiei3600

No grazie.

Se mi si rompe il "coso" hardware che faccio? perdo l'accesso all'account forever? mi devo comprare multipli "cosi" hardware nel caso uno si rompa? e se ci fossero altri sistemi per recuperare l'accesso in quel caso, cosa impedisce ai malintenzionati di usare i suddetti sistemi per bypassare la protezione? e se qualcuno mi frega il "coso" hardware che faccio? mi attacco la tram? almeno una password se sono in grado la posso memorizzare e nessuno me la può rubare facilmente da dentro la mia testa

no ma tranquillo proprio, gli esperti di sicurezza sono solo una manica d'incompetenti a consigliare i sistemi passwordless

il "coso" è semplicemente uno dei tuoi possibili dispositivi con autenticazione biometrica.
un PC con windows hello, praticamente ogni smartphone, un dongle dedicato (decisamente poco comodo), un'app di autenticazione (poco comoda), un Mac con l'autenticazione biometrica ecc.

se si rompe, hai le one time password, vengono generate, te le salvi offline e sono un passe-partout universale come ci sono già oggi per recuperare gli authenticator perduti, gli account dropbox/steam/banca/gmail ecc.

se uno non ne ha generate, se uno le ha perdute ecc. è esattamente nella stessa medesima situazione di oggi quando uno dimentica la password senza possibilità di recupero.
la password paypal ad esempio, se uno ha gli account "nativi" (cioè non "login with google" e simili), ti tocca scrivergli, inviargli un documento di identità e tutta la trafila. e forse ti sbloccano l'account. forse.

i sistemi passwordless li hanno inventati perché per non diventare matti sempre più servizi si appoggiano ad altri servizi terzi per l'autenticazione ed autorizzazione (google, facebook e microsoft su tutti). e più che lo si fa, più aumenta il rischio.
passando da un'autenticazione biometrica si toglie un bel pezzo dalla superficie attaccabile: le password sotto sotto esistono sempre ma non si conoscono. è meglio per tutti.
immagina oggi usare l'account google per accedere a 350 servizi, se ti ciulano quello è finita. qui giocano la partica i sistemi passwordless.

c'è una letteratura ormai molto corposa a riguardo.

la scocciatura potenziale c'è, ed è il recupero password "ordinario".
intendo dire, oggi giorno uno dimentica una pass qualunque non di account troppo "vitali", ad esempio quella di hwupgrade. clicchi sul form, ti inviano un link per resettarla al volo, ne setti una nuova e buonanotte.
ecco, queste cose sono assolutamente fattibili in scenari passwordless, MA:
1 - qualcuno la implementerà MALE. sicuro.
2 - se il "coso" non è disponibile, rischia di essere un po' macchinosa.

non so in italia, ma qua (Francia ed Australia) sostanzialmente le banche già usano questi sistemi per validare le operazioni. compri qualcosa, ti arriva la notifica sull'app sul telefono, validi l'operazione ed il flusso prosegue.
i sistemi passwordless sono quello, esteso solo a più cose

[Silent Bob]

Quote:

Originariamente inviato da david-1

Credo che tu possa comunque entrare "alla vecchia" o avere un dispositivo di backup... credo... sentiamo qualcuno che sa più di me

Sì, ma il senso del mio post è porre una domanda del genere a qualcuno che non c'ha pensato, come mi è capitato in quel momento, ed infatti poi ho lasciato stare.

[biometallo]

Quote:

Originariamente inviato da Hiei3600

No grazie.

Se mi si rompe il "coso" hardware che faccio?

Ne accenna anche l'articolo stesso:

Le passkey possono anche essere revocate velocemente attraverso le impostazioni dell'account Google, ad esempio se si perde il dispositivo legato alla passkey o se si sospetta che l'account sia stato rubato.

Se ho capito bene funziona come l'autentificazione a due fattori, cioè entra in gioco solo quando ci si connette da un dispositivo sconosciuto, ma finché si usa uno già registrato, il proprio smartphone, il proprio pc di casa ecc... ci si connette come prima

[marcram]

Ragazzi, sono semplicemente delle chiavi private, stoccate in una specie di password manager, che, a differenza delle password normali, non escono mai dal password manager.
Basta fare un backup delle chiavi e, anche se ti si rompe il dispositivo di autenticazione, recuperi le chiavi dal backup.

Il problema, semmai, è che l'utente comune non è in grado di farsi il backup, quindi Google propone un sistema automatizzato in cui lui, nella sua infinita bontà, conserva sui suoi server il backup delle chiavi private con cui tu accedi a tutti i servizi a cui ti sei registrato...

[Hiei3600]

Quote:

Originariamente inviato da lollo9

il "coso" è semplicemente uno dei tuoi possibili dispositivi con autenticazione biometrica.
un PC con windows hello, praticamente ogni smartphone, un dongle dedicato (decisamente poco comodo), un'app di autenticazione (poco comoda), un Mac con l'autenticazione biometrica ecc.

Telefonino e/o dongle sono facilmente rubali

Quote:

Originariamente inviato da lollo9

se si rompe, hai le one time password, vengono generate, te le salvi offline e sono un passe-partout universale come ci sono già oggi per recuperare gli authenticator perduti, gli account dropbox/steam/banca/gmail ecc.

Quindi le password "Tradizionali" ci sono ancora, password che potrebbero essere usate dai malintenzionati per accedere comunque al tuo account, in barba ai vari dongle / app di autenticazioni / verifiche biometriche / ecc.

Quote:

Originariamente inviato da lollo9

se uno non ne ha generate, se uno le ha perdute ecc. è esattamente nella stessa medesima situazione di oggi quando uno dimentica la password senza possibilità di recupero.

Stessa cosa di perdere le password, quindi non ci vedo un vantaggio rispetto a queste ultime

Quote:

Originariamente inviato da lollo9

la password paypal ad esempio, se uno ha gli account "nativi" (cioè non "login with google" e simili), ti tocca scrivergli, inviargli un documento di identità e tutta la trafila. e forse ti sbloccano l'account. forse.

Cosa che fanno già certi "hacker" quando ti duplicano la sim del telefono: Chiamano il tuo ISP, li convincono che sei tu, si fanno attivare una sim con il tuo stesso numero, mandano una richiesta di password dimenticata, ricevono un SMS con il link per il reset e RIP; In altre parole, non ci vedo un layer di protezione aggiuntivo rispetto al più "Tradizionale" sistema a due fattori.

Quote:

Originariamente inviato da lollo9

passando da un'autenticazione biometrica si toglie un bel pezzo dalla superficie attaccabile: le password sotto sotto esistono sempre ma non si conoscono. è meglio per tutti.

Le password ci sono appunto, quindi la "Vulnerabilità" rimane anche in questi casi.

Quote:

Originariamente inviato da lollo9

immagina oggi usare l'account google per accedere a 350 servizi, se ti ciulano quello è finita. qui giocano la partica i sistemi passwordless.

Infatti per questo si usano password diverse, semmai si dovrebbero usare anche molti account mail differenti perché quelli si che sono un punto critico se il sito permette il reset della password via e-mail.

Quote:

Originariamente inviato da lollo9

la scocciatura potenziale c'è, ed è il recupero password "ordinario".
intendo dire, oggi giorno uno dimentica una pass qualunque non di account troppo "vitali", ad esempio quella di hwupgrade. clicchi sul form, ti inviano un link per resettarla al volo, ne setti una nuova e buonanotte.
ecco, queste cose sono assolutamente fattibili in scenari passwordless, MA:
1 - qualcuno la implementerà MALE. sicuro.
2 - se il "coso" non è disponibile, rischia di essere un po' macchinosa.

non so in italia, ma qua (Francia ed Australia) sostanzialmente le banche già usano questi sistemi per validare le operazioni. compri qualcosa, ti arriva la notifica sull'app sul telefono, validi l'operazione ed il flusso prosegue.
i sistemi passwordless sono quello, esteso solo a più cose

Rimane il fatto che il telefonino è la vulnerabilità più lampante in questo sistema(facile da rubare, la gente lo ha praticamente sempre in mano), non che le password tradizionali siano meglio sotto questo aspetto, ma questi sistemi password-less non mi sembrano questa grande panacea a confronto.

Quote:

Originariamente inviato da marcram

Ragazzi, sono semplicemente delle chiavi private, stoccate in una specie di password manager, che, a differenza delle password normali, non escono mai dal password manager.
Basta fare un backup delle chiavi e, anche se ti si rompe il dispositivo di autenticazione, recuperi le chiavi dal backup.

Quindi se con il sistema tradizionale devi stare attento che non ti fregano le password con questo sistema devi stare attento che non ti freghino le chiavi di backup.

Stessa cosa, diversa sostanza.

In tema di sicurezza qualcuno mi può spiegare come mai ancora nel codesto anno attuale, nonostante i 200mila sistemi di sicurezza di Windows + hardware TPM (Grazie Windows 11 per averlo messo come requisito) ancora oggi basta cliccare sull'.exe sbagliato per fregarsi l'intero PC? è un pò come se tutta questa presunta sicurezza aggiuntiva sia solo fuffa

[marcram]

Quote:

Originariamente inviato da Hiei3600

Quindi se con il sistema tradizionale devi stare attento che non ti fregano le password con questo sistema devi stare attento che non ti freghino le chiavi di backup.

Stessa cosa, diversa sostanza.

La differenza è che le password normali devi continuamente inserirle, scriverle, copiarle. Continui ad esporle, ed in uno di questi tanti passaggi, potrebbero essere intercettate.

Le chiavi private, invece, le esponi solo nel momento in cui le crei. Il backup lo tieni al sicuro, e tutte le volte che devi autenticarti, le chiavi rimangono al sicuro, diminuendo moltissimo le possibilità che vengano rubate.

[Klontz]

Si può semplificare dicendo che è un sistema di autenticazione a due fattori, ma che non chiede la password, basta inserire lo user e poi dare conferma con un qualche dispositivo hardware previamente registrato (smartphone, tablet ecc. ecc.). ?!?!?

[Opteranium]

io preferisco fare senza account google: pw manager con password generata random ogni volta, account diverso per ogni servizio, mail temporanee ogni quando è possibile, accesso sempre e solo dal pc.. sarà più complesso ma preferisco.
Sullo smartphone al massimo ci tengo le foto

[silvanotrevi]

Io credo che anche la passkey rimanga potenzialmente vulnerabile. Se un malintenzionato riesce a fingerprintare il tuo dispositivo hardware, non gli sarà difficile decriptare la passkey. Ed esistono tecniche sofisticatissime già oggi che permettono una tale (invasiva) profilazione dei nostri dispositivi. Molti siti web addirittura sanno quale scheda video e quale cpu sono legate al nostro IP, e persino quanta ram e che modello usiamo. E spaventoso quello che si può fare col fingerprinting

[h.rorschach]

Quote:

Originariamente inviato da silvanotrevi

Io credo che anche la passkey rimanga potenzialmente vulnerabile. Se un malintenzionato riesce a fingerprintare il tuo dispositivo hardware, non gli sarà difficile decriptare la passkey. Ed esistono tecniche sofisticatissime già oggi che permettono una tale (invasiva) profilazione dei nostri dispositivi. Molti siti web addirittura sanno quale scheda video e quale cpu sono legate al nostro IP, e persino quanta ram e che modello usiamo. E spaventoso quello che si può fare col fingerprinting

Falso

[cronos1990]

Quote:

Originariamente inviato da Silent Bob

Sì, ma il senso del mio post è porre una domanda del genere a qualcuno che non c'ha pensato, come mi è capitato in quel momento, ed infatti poi ho lasciato stare.

Non mi sono ancora informato su come funziona questo sistema, ma l'idea di fondo è analoga a Google Authenticator.

Ovvero, anche per quell'applicazione, e per gli stessi motivi (la sicurezza) tutti i dati sono salvati solo in locale, e non viene inviato alcun tipo di dato. Se però il cellulare per qualche motivo ti va al creatore e non puoi più accedere, non è un problema.

O meglio: diventa una rottura sistemare tutto ma non è un problema. Banalmente, devi andare sul sito (o quel che è) di ogni singola entità con la quale hai attivato la doppia autentificazione con Google Authenticator, e disattivarla da li.
Per dire, se ce l'hai con Amazon (esempio), vai sul tuo account Amazon e disattivi l'autentificazione in due passaggi. Poi quando ottieni il nuovo cellulare, semplicemente la riattivi. Chiaro che se hai parecchi servizi diventa una cosa logorante, ma nulla di problematico.


Ora mi informo su come funziona questa Passkey, ma dubito che non abbiano ideato un sistema di recupero dei dati nel caso di perdita del dispositivo.

[Silent Bob]

Quote:

Originariamente inviato da cronos1990

Non mi sono ancora informato su come funziona questo sistema, ma l'idea di fondo è analoga a Google Authenticator.

..

Ora mi informo su come funziona questa Passkey, ma dubito che non abbiano ideato un sistema di recupero dei dati nel caso di perdita del dispositivo.

E' questo il punto, bisogna informarsi un minimo prima per come muoversi.

Come scritto in un qualcosa di simile tempo dietro, alla fine aumentano le possibilità di "proteggersi" ma anche di avere sistemi che ti si rivoltano contro se non si è abbastanza preparati.

Il mio amico nel caso è uno che sta a metà, ovvero un minimo di informatica la sa, ma non sta dietro a tutte queste dinamiche, però prima o poi per curiosità qualche domanda gliela faccio, giusto per capire se sa come tirarsi fuori in caso di problemi.

[cronos1990]

Ovvio che bisogna informarsi. Quando ho pensato di usare google Authenticator è la prima cosa che ho fatto, e tra le varie cose mi sono informato proprio sull'eventualità di quello che avrei potuto fare in caso di cellulare non utilizzabile.

Cosa che tra l'altro mi è anche successa: il precedente mi si è sfasciato cadendo. Quando l'ho sostituito ho fatto esattamente quanto riportato sopra (lo usavo per due servizi) e non ho avuto problemi.


Trovo semmai ridicole certe persone che parlano senza informarsi, e sentenziano solo per partito preso. Esempio:

Quote:

Originariamente inviato da Hiei3600

e se qualcuno mi frega il "coso" hardware che faccio? mi attacco la tram? almeno una password se sono in grado la posso memorizzare e nessuno me la può rubare facilmente da dentro la mia testa

Tralasciando il fatto che il "coso" hardware nel 99,9999% dei casi sarà lo smartphone (per cui intanto è da vedere SE il ladro riesce ad avere accesso, e nel caso quanto ci mette... non certo 2 minuti), l'articolo riporta chiaramente che:

Quote:

Le passkey possono anche essere revocate velocemente attraverso le impostazioni dell'account Google, ad esempio se si perde il dispositivo legato alla passkey o se si sospetta che l'account sia stato rubato.

Quindi cosa fare in quel caso è chiaro (oltre che piuttosto semplice e possibile da un qualunque terminale).

Almeno leggere prima di parlare a caso

[redeagle]

Non capisco il problema di tutti quelli che stanno scrivendo "EEEH MA SE...", "EEEEEH SE, MA...". Qui non si parla di un sistema di sicurezza in più o migliore, ma della comodità di non inserire ogni volta la password.
Quello che (io) già faccio con le app IO, SPID, Ticket Restaurant, della banca, e tanti altri, semplicemente ora l'ha implementato anche Google.
Non è nulla di così stravolgente.

[TorettoMilano]

Quote:

Originariamente inviato da redeagle

Non capisco il problema di tutti quelli che stanno scrivendo "EEEH MA SE...", "EEEEEH SE, MA...". Qui non si parla di un sistema di sicurezza in più o migliore, ma della comodità di non inserire ogni volta la password.
Quello che (io) già faccio con le app IO, SPID, Ticket Restaurant, della banca, e tanti altri, semplicemente ora l'ha implementato anche Google.
Non è nulla di così stravolgente.

questo servizio non inserisce password