Google rivoluziona Chrome: il browser cambierà in autonomia le password violate

Google ha annunciato al Google I/O 2025 un aggiornamento sostanziale per Chrome pensato a rendere la gestione delle password più sicura e meno gravosa per l’utente. Il browser potrà presto riconoscere quando una credenziale è stata compromessa o risulta troppo debole e – con un solo clic da parte dell’utente – generare una password forte e sostituirla automaticamente sui siti che supportano la nuova funzionalità. L’obiettivo è ridurre al minimo gli sforzi richiesti per mantenere sicuri i propri account online, eliminando buona parte delle operazioni manuali finora necessarie.

Cos’è l’auto-aggiornamento delle password

La nuova feature del Password Manager integrato in Chrome va oltre l’attuale sistema di avvisi su credenziali compromesse o deboli. Quando l’utente effettua il login con una password precedentemente salvata e questa risulta coinvolta in un data breach o semplice a sufficienza da essere considerata insicura, Chrome mostrerà un popup che propone il cambio automatico della password. Se l’utente accetta, il browser genererà una nuova stringa complessa, la invierà al sito e la salverà direttamente nel gestore delle password, senza mai mostrare all’utente il modulo di cambiamento tradizionale.

Il flusso di lavoro per l’utente è molto semplice:

• All’accesso, Chrome verifica le credenziali con i database di breach conosciuti.
• Se la password è compromessa o debole, compare un avviso in sovrimpressione.
• Un pulsante nel popup consente di avviare l’auto-aggiornamento.
• Chrome genera una password casuale e robusta, la invia in background al form di cambio password del sito.
• La nuova password viene salvata nel Password Manager, pronta per il prossimo login.
• L’utente riceve una notifica di conferma dell’avvenuto aggiornamento.

Grazie a questo meccanismo, tutto il processo richiede un solo clic e pochi secondi, eliminando il tradizionale giro tra pagine di impostazioni e moduli complicati.

Per abilitare la funzione, i siti web devono adottare alcune semplici best practice:

• Impostare gli attributi HTML autocomplete="current-password" e autocomplete="new-password" nei rispettivi campi del modulo di login e di cambiamento password.

• Implementare un reindirizzamento dalla well-known URL /.well-known/change-password alla pagina del form per l’aggiornamento delle credenziali.

Questi accorgimenti permettono a Chrome di individuare automaticamente i campi corretti per inviare la nuova password e integrarsi senza intoppi con i sistemi di autenticazione esistenti. Google ha messo a disposizione una guida per gli sviluppatori con esempi di codice e istruzioni passo passo, in modo da incentivare un’adozione rapida e capillare.

Motivazioni e vantaggi

Parisa Tabriz, vice president e general manager di Chrome, ha spiegato che spesso gli utenti ignorano gli avvisi di password deboli perché considerano fastidioso il procedimento manuale per cambiarle. Un processo troppo complesso o che interrompe gli utenti nelle attività quotidiane rischia di far desistere anche chi è consapevole dei rischi. Con l’auto-aggiornamento, Google punta a:

• Ridurre l’attrito nel mantenimento delle password.
• Abbassare drasticamente i tempi di reazione a una breach.
• Migliorare la sicurezza complessiva degli account degli utenti.
• Allargare l’uso di credenziali forti e uniche senza richiedere competenze tecniche.

Il cambiamento automatico è pensato come un “vincere su due fronti”: più sicurezza e migliore esperienza d’uso. Al tempo stesso, il sistema non sostituisce completamente l’intervento umano, ma lo potenzia.

Controllo dell’utente e privacy

Nonostante l’automazione, Google ha ribadito che il browser non cambierà mai una password senza il consenso esplicito dell’utente. Ogni aggiornamento richiede un clic di conferma e un chiaro messaggio di autorizzazione. In questo modo, si garantisce trasparenza sulle modifiche apportate alle credenziali, capacità di scegliere se aderire o meno all’auto-aggiornamento e permanenza del controllo finale nelle mani dell’utente. Inoltre, tutte le operazioni di generazione, invio e salvataggio delle password avvengono localmente nel browser e utilizzano canali cifrati per comunicare con i siti web, mantenendo alto il livello di privacy.

Durante la stessa sessione di I/O, Google ha svelato anche altri miglioramenti per il Password Manager di Chrome:

• Layout unificato per visualizzare in un’unica finestra sia password sia passkey.
• Sincronizzazione cross-platform delle passkey anche su iOS, Windows, macOS, ChromeOS e Linux.
• Generazione e salvataggio automatico delle passkey in fase di registrazione.
• Scansione e trasferimento delle credenziali tra app e browser, anche su domini multipli o in ambienti misti tra web e app native.

Le passkey rappresentano un metodo più sicuro rispetto alle password tradizionali, basato su crittografia a chiave pubblica, e la loro gestione diventa sempre più semplice e integrata nell’ecosistema Google.

Google ha comunicato che la feature di auto-aggiornamento delle password sarà rilasciata “entro la fine dell’anno” e che inizialmente sarà disponibile solo su un sottoinsieme di siti compatibili, con un’estensione progressiva nei mesi successivi. Gli sviluppatori sono invitati a integrare subito i requisiti tecnici per essere pronti al lancio, in modo da garantire la migliore copertura possibile per gli utenti finali.

La mossa di Google arriva in un momento in cui le vulnerabilità legate a password deboli o riutilizzate rappresentano ancora la maggior parte degli incidenti di sicurezza. Secondo dati recenti, oltre 19 miliardi di credenziali sono finite in database illeciti e attacchi di credential stuffing continuano a mietere vittime. Una soluzione che automatizza e semplifica la gestione delle password può dare un contributo significativo alla riduzione dell’esposizione degli account a furti e takeover. Inoltre, l’adozione di tale feature da parte di Chrome, il browser più utilizzato al mondo, potrebbe spingere anche gli altri produttori di browser a introdurre meccanismi analoghi, innalzando il livello di sicurezza complessivo su scala globale.