Google sta uccidendo le tue password, e gli esperti di sicurezza sono felici | ENBLE
Google sta eliminando le tue password, e gli esperti di sicurezza sono felici | ENBLE
Google si avvicina sempre di più a rendere obsolete le password. La soluzione si chiama “Passkeys”, una forma unica di password che viene memorizzata localmente sul tuo telefono o PC, proprio come una chiave di sicurezza fisica. Le passkey sono protette da un livello di autenticazione, che può essere la tua impronta digitale o la scansione del viso, oppure un semplice modello o PIN visualizzato sullo schermo.
Le passkey sono più veloci, collegate su diverse piattaforme, e ti risparmiano il fastidio di ricordare le password per i siti web o servizi a cui sei iscritto. C’è una minor possibilità di errore umano e anche i rischi di intercettazione dei codici di autenticazione a due fattori sono ridotti.
Sviluppate in collaborazione con Microsoft e Apple, Google sta ora compiendo i prossimi passi per rendere le passkey diffuse di default, rendendole l’opzione di accesso predefinita. Non sarai obbligato ad abbandonare i tuoi metodi abituali di accesso, ma se non hai ancora abilitato le passkey, riceverai un suggerimento la prossima volta che il tuo account Google viene utilizzato per una richiesta di accesso.
Perché le passkey sono migliori delle password
Le passkey utilizzano quello che potresti chiamare un “saluto digitale”, che prevede la creazione di una coppia di password tramite metodi crittografici. Una password viene memorizzata con l’applicazione o il servizio web, mentre l’altra rimane con l’utente, protetta da una password o da un’autenticazione biometrica sul dispositivo. Non è coinvolto nessun codice di autenticazione a due fattori e tutto ciò che devi fare è toccare un avviso sul tuo dispositivo per consentire la verifica dell’identità.
Trevor Hilligos, che ha lavorato in precedenza come esperto di sicurezza per l’FBI e attualmente si occupa di ricerca sulla sicurezza presso SpyCloud, dice a ENBLE che le passkey sono “forti per natura, ed è per questo che molti team di sicurezza preferiscono questa modalità di difesa”. Il vantaggio più grande è che non vengono rivelate come le comuni password alfanumeriche durante le violazioni dei dati. Questo è un problema per molteplici motivi perché un numero preoccupante di cittadini digitali riutilizza la stessa password o una forma prevedibilmente modificata in diversi servizi.
- Non crederai che abbia scattato queste foto con il Google Pixel 8 |...
- Gli auricolari da $80 non dovrebbero suonare così bene, e ora sono ...
- Le tue Pixel Buds Pro hanno appena ricevuto un grande aggiornamento...
Le passkey sono più veloci (fino al 40%, secondo Google), più sicure e più convenienti. Ma Hilligoss avverte che non sono esattamente una soluzione perfetta per la sicurezza digitale. “I criminali informatici si stanno rapidamente adattando a questa tecnologia spostando la loro attenzione dal furto delle credenziali di accesso ai metodi di recupero dell’account, sviluppando tattiche per rubare le passkey e lanciando attacchi come il dirottamento della sessione.”
Le passkey sono buone, ma non sono perfette
Hilligoss fa riferimento a una tecnica chiamata dirottamento della sessione, nota anche come “cookie hijacking”, in cui un hacker cerca di prendere il controllo della tua sessione di navigazione online per rubare dati sensibili. Fondamentalmente, i cattivi attori ingannano un sito web facendogli credere di essere un utente legittimo. Quando una persona visita un sito web, viene creata una sessione che spesso rimane attiva per giorni.
I dati di questa sessione vengono memorizzati sotto forma di numeri e lettere nei cookie di sessione temporanei e rimangono nel browser fino al momento del logout dell’utente. Gli hacker possono rubare le session ID iniettando script nelle pagine web, intercettando il traffico di rete, installando in modo ingannevole malware sul dispositivo della vittima o semplicemente utilizzando la predizione di pattern.
“Una volta che l’attaccante ha dirottato una sessione web, può fare tutto ciò che l’utente originale può fare, compreso l’acquisto di oggetti, il furto di informazioni personali confidenziali o l’accesso a conti bancari”, aggiunge Hilligoss. In tali attacchi, non importa se l’accesso è stato consentito utilizzando una password tradizionale o delle passkey.
Cosa significa tutto questo per te
Le passkey sono legate a Google Password Manager, mentre Apple porta in campo l’iCloud Keychain, il che significa che le passkey sono sincronizzate anche su dispositivi diversi. Per impostazione predefinita, Google crea automaticamente una passkey per i dispositivi Android appena attivati. Tuttavia, mentre abbandoniamo le password, gli hacker vanno avanti con tecniche sempre più sofisticate.
Le passkey non bloccano altri tipi di attacchi informatici, come l’installazione di malware in varie forme, un truffatore che si fa passare per un funzionario bancario in una chiamata telefonica (ciao, inferno dell’intelligenza artificiale generativa), attacchi di ingegneria sociale e altro ancora. Le passkey risolvono solo un lato della falla di sicurezza, lontane dall’essere una soluzione universale.
La alfabetizzazione digitale avrà ancora un’importanza fondamentale nei prossimi anni, mentre i servizi di terze parti abbracciano lentamente le passkey. Hulligoss suggerisce di utilizzare l’autenticazione a 2 fattori basata sull’app, di cambiare le password a intervalli regolari, di verificare due volte gli URL e i link ricevuti e di prestare attenzione alle chiamate telefoniche da numeri sconosciuti.
“Una corretta igiene informatica e l’esercizio della visibilità sui tuoi account online ti aiuteranno a stare un passo avanti ai criminali informatici”, conclude.
