Google lancia il supporto Beta Access Key per Chrome e Android

Big Tech vuole uccidere la password e “Access Keys” è il nuovo standard caldo per la sostituzione della password di blocco. Le chiavi di accesso sono supportate da Google, Apple, Microsoft e FIDO Alliance, quindi aspettati di vederle presto ovunque. iOS ha adottato lo standard nella versione 16 e ora Google sta implementando le versioni beta della password per Chrome e Android.

L’argomento della password è che le password sono vecchie e deboli. Le password dei computer sono state originariamente concepite come un segreto facile da ricordare che le persone potevano digitare in una casella di testo. Quando è emersa la necessità di una maggiore sicurezza, sono emersi gestori di password per semplificare il salvataggio e il recupero delle password. Ora, invece di qualche frase accattivante, il modo ideale per usare una password è fare in modo che il computer generi una stringa di caratteri jolly e non usi mai quella password da nessun’altra parte. Tuttavia, la rivoluzione del gestore delle password è un hack costruito sopra quella casella di testo originale. In realtà non abbiamo più bisogno della casella di testo, ed è qui che entra in gioco lo standard della password.

Una strana scelta che Big Tech ha fatto con le passkey è che la cosa che passa la tua chiave al sito web è il tuo telefono, non il gestore di password su qualunque dispositivo tu stia attualmente utilizzando. Anche questa comunicazione tra il telefono e il client non avviene su Internet come l’autenticazione a due fattori: il dispositivo che utilizzi deve disporre del Bluetooth affinché il tuo telefono possa comunicare con esso localmente. La comunicazione locale garantisce che persone casuali su Internet non possano accedere ai tuoi account, ma bloccherà anche alcuni desktop.

Google afferma che gli sforzi per la password hanno raggiunto un “importante traguardo” oggi. Se ti registri per la versione beta di Play Services, ora puoi creare e utilizzare passkey sui dispositivi Android e Chrome Canary ora supporta le passkey dei siti web. Google afferma che le implementazioni stabili per Chrome e Android arriveranno entro la fine dell’anno, ma desidera che gli sviluppatori inizino lo sviluppo in questo momento.

Google ha anche condiviso alcuni dettagli su come funzionerà. Nella soluzione di Google, le tue password sono memorizzate nel gestore delle password di Google. Un pop-up sul tuo telefono ti chiederà prima di selezionare un account e quindi di autenticarti con un qualche tipo di biometrico, come lo sblocco delle impronte digitali. Il telefono comunicherà con il client tramite Bluetooth, il browser riceverà la tua password e la invierà al sito web. (Se il client è il tuo telefono, le cose diventano molto più semplici.)

Per qualche ragione, nell’esempio di Google, l’intero processo inizia con un codice QR. Immagino che questo sia solo un rapido trucco per la beta, ma affinché il popup della passkey appaia prima sul tuo telefono, Google mostra al computer un codice QR e poi il telefono lo scansiona. Come nel caso di Google Prompt o altre forme di 2FA, speriamo che in futuro il popup iniziale della password si apra automaticamente sul web.

Oltre alle versioni stabili per Android e Chrome, next for Google è un’API per app Android native e un’API Android per gestori di password di terze parti che possono essere collegati a questo. Google sta riordinando in questo momento, ma in futuro dovrebbe funzionare su diversi ecosistemi, quindi un iPhone può inviare una passkey a Chrome e un telefono Android può inviare una passkey a Safari.