Google oggi ha spiegato come le passkey su Android si sincronizzeranno con il suo Password Manager, oltre ad annunciare la prima compatibilità con Android e Chrome. Una singola passkey viene utilizzata per identificare un account utente specifico su un servizio online. Un utente dispone di molte chiavi di accesso per vari servizi. La gestione delle chiavi di accesso è resa semplice dal sistema operativo dell’utente o da un software simile ai gestori di password odierni.
L’obiettivo del settore per un futuro senza password pone l’accento sul telefono e sull’identità/account di sincronizzazione di Apple (ID), Google o Microsoft. Utilizza la biometria (impronta digitale o riconoscimento facciale) o lo sblocco del passcode per autenticarti e accedere. Nel frattempo, se configuri un nuovo dispositivo o perdi quello vecchio, quell’account verrà utilizzato.
Google Password Manager aggiorna i passkey
Una chiave privata crittografica è il componente fondamentale di una passkey. Nella maggior parte dei casi, questa chiave privata si trova solo sui dispositivi dell’utente, come computer o telefoni cellulari. Il servizio online memorizza la chiave pubblica appropriata solo quando viene stabilita una passkey. Durante l’accesso, il servizio verifica una firma dalla chiave privata utilizzando la chiave pubblica. Ciò può essere causato solo da uno dei gadget dell’utente.
Le passkey su Android verranno salvate e sincronizzate con Google Password Manager, cosa che l’azienda ha sottolineato di recente. Poiché la “stessa chiave privata può esistere su numerosi dispositivi”, le passkey possono esistere su più di un dispositivo (telefono + tablet, vecchio + nuovo telefono, ecc.). Le chiavi private passkey vengono crittografate a riposo sui dispositivi dell’utente utilizzando una chiave di crittografia protetta dall’hardware. Con Google Password Manager, anche le passkey sono crittografate end-to-end.
Quando viene eseguito il backup di una passkey, viene caricata solo la sua chiave privata crittografata, utilizzando una chiave di crittografia disponibile solo sui dispositivi dell’utente. Ciò protegge le passkey da Google o da un malintenzionato all’interno di Google. Un utente malintenzionato senza accesso alla chiave privata non può utilizzare la passkey per accedere all’account online collegato.
Oggi Google ha descritto la procedura di ripristino e l’esperienza di configurazione di un nuovo telefono utilizzando le chiavi di accesso. Le chiavi di crittografia end-to-end del telefono precedente vengono inviate a quello nuovo come parte della procedura di migrazione del dispositivo standard. Devi essere registrato allo stesso account Google del dispositivo precedente e conoscerne il “PIN, la password o la sequenza della schermata di blocco di un altro dispositivo esistente che ha accesso a tali chiavi”.
