Dopo aver annunciato in autunno che questa funzione era accessibile in Chrome Canary, il team di sviluppo ha annunciato che ora il supporto per le passkey è disponibile in Chrome Stable M108, l’ultima versione stabile del browser.
Le password – sottolinea nel blog di Chromium Ali Sarraf, Product Manager, Google Chrome – sono in genere la prima linea di difesa nella nostra vita digitale. Tuttavia, esse sono a rischio di phishing, di fuga di dati e di scarsa “igiene”. Google ha riconosciuto da tempo questi problemi e per questo ha creato difese quali la verifica in due passaggi e Google Password Manager.
Per affrontare queste minacce alla sicurezza in modo più semplice e conveniente, secondo Ali Sarraf dobbiamo passare all’autenticazione senza password. Ed è qui che entrano in gioco le passkey.
Le passkey – sottolinea Google – sono un sostituto molto più sicuro delle password e di altri fattori di autenticazione soggetti a phishing. Non possono essere riutilizzate, non causano leak di informazioni in caso di violazione dei server e proteggono gli utenti dagli attacchi di phishing.
Le passkey si basano su standard di settore, possono funzionare su diversi sistemi operativi ed ecosistemi di browser e possono essere utilizzate sia con i siti web che con le applicazioni.
È possibile utilizzare le passkey per accedere ai siti e alle applicazioni che le supportano. L’accesso con una passkey richiede l’autenticazione nello stesso modo in cui siamo soliti sbloccare un dispositivo.
Con l’ultima versione di Chrome, Google ha abilitato le passkey su Windows 11, macOS e Android. Su Android le passkey saranno sincronizzate in modo sicuro attraverso Google Password Manager o, nelle versioni future di Android, qualsiasi altro gestore di password che le supporti.
Una volta salvata una passkey sul dispositivo, questa può essere mostrata nell’autofill durante l’accesso, per garantire una maggiore sicurezza.
Su un dispositivo desktop si può anche scegliere di utilizzare una passkey dal dispositivo mobile in prossimità e, poiché le passkey sono basate su standard di settore, si può utilizzare un device Android o iOS.
Una passkey non lascia il dispositivo mobile quando si accede in questo modo, spiega il team di Google. Viene scambiato con il sito solo un codice generato in modo sicuro e quindi, a differenza di una password, non c’è nulla che possa essere oggetto di leak. Per avere il controllo sulle passkey, da Chrome M108 sarà possibile gestirle dall’interno di Chrome su Windows e macOS.
Affinché le passkey funzionino, gli sviluppatori devono implementare il supporto nei loro siti utilizzando l’API WebAuthn. Da anni Google collabora con altri player del settore, in particolare con Apple e Microsoft, membri della FIDO Alliance e del W3C, per promuovere standard di autenticazione sicuri.
L’obiettivo di Google è quello di garantire la massima sicurezza sul web e la possibilità di utilizzare le passkey in Chrome è una pietra miliare in questa direzione, ma Big G sottolinea anche che il lavoro non è ancora finito. Ci vorrà del tempo prima che questa tecnologia venga adottata su tutti i siti e Google stessa sta lavorando per abilitare le passkey su iOS e Chrome OS.
