Sempre più vicini ad un futuro senza password
Nel tempo, le password sono diventate meno sicure a causa di truffe online o violazioni dei dati. Google ha riconosciuto da tempo questi problemi, ed è per questo che abbiamo creato sistemi di sicurezza come la Verifica in 2 passaggi e il Gestore delle Password.
Tuttavia, per affrontare davvero questa problematica, dobbiamo andare oltre le password stesse, ed è per questo che stiamo lavorando da oltre un decennio a un futuro senza password.
Oggi, per celebrare la Giornata Mondiale della Password, annunciamo un momento fondamentale di questo viaggio: nel corso del prossimo anno tutte le principali piattaforme di dispositivi si sono impegnate a costruire il supporto per gli standard FIDO Sign-in senza password. Abbiamo in programma di implementare il supporto senza password in Android e Chrome. Apple e Microsoft hanno anche annunciato che offriranno il supporto in iOS, MacOS, Safari, Windows e Edge. Questo semplificherà gli accessi su tutti i dispositivi, siti web e applicazioni, indipendentemente dalla piattaforma - senza la necessità di una singola password.
Come sarà un futuro senza password?
Quando accedete a un sito web o a un'app sul vostro telefono, sbloccherete semplicemente il telefono e il vostro account non avrà più bisogno di una password. Invece, il vostro telefono memorizzerà una credenziale FIDO chiamata passkey che viene utilizzata per sbloccare l’account online. La chiave d'accesso rende lo sblocco molto più sicuro, poiché è basata sulla crittografia a chiave pubblica e viene mostrata al vostro account online solo quando sbloccate il telefono.
Per accedere a un sito web sul vostro computer, avrete solo bisogno del vostro telefono nelle vicinanze e vi verrà semplicemente richiesto di sbloccarlo per accedere. Una volta fatto questo, non avrete più bisogno del vostro telefono e potrete accedere semplicemente sbloccando il vostro computer. Anche se perdete il telefono, le passkey si sincronizzeranno in modo sicuro sul vostro nuovo telefono dal backup del cloud, permettendovi di riprendere proprio da dove eravate rimasti!
La roadmap del nostro impegno
La passkey ci porterà molto più vicini al futuro senza password che abbiamo tracciato per oltre un decennio. Ecco uno sguardo alle innovazioni che hanno aperto la strada all'annuncio di oggi.
- Gestore delle Password di Google: Nel 2008, abbiamo introdotto la prima versione del nostro Gestore delle Password, abbiamo reso così l'accesso più facile e più sicuro senza la necessità di ricordare o digitare la password. La nostra ricerca mostra che il 40% delle persone dà ancora la priorità alla creazione di password facili da ricordare rispetto a quelle forti e sicure. I gestori di password risolvono questo problema ricordando le vostre password per voi e garantendo che siano forti. Ancora più importante, assicurano che le vostre credenziali non vengano inserite in un sito web fraudolento. Negli ultimi anni abbiamo fatto grandi investimenti per rendere il gestore delle password ancora più intelligente: per esempio, ora avvisiamo gli utenti se le loro password sono state compromesse da una violazione dei dati.
- Verifica in 2 passaggi: Nel 2011, Google è stato il primo sito web ad offrire la verifica in 2 fasi (2SV), fornendo alle persone un modo sicuro e facile per accedere. Il metodo richiede una seconda forma di autenticazione dopo aver inserito una password, rendendo molto più difficile per un attaccante ottenere l'accesso. Abbiamo sempre incoraggiato le persone a iscriversi a 2SV. L'anno scorso, abbiamo iscritto automaticamente 150 milioni di utenti, e continueremo ad iscrivere le persone i cui account sono correttamente impostati per farlo.
- Token di sicurezza per i dipendenti di Google: Nel 2012, abbiamo deciso di costruire una soluzione completa per bloccare gli attacchi di phishing contro i dipendenti di Google. Abbiamo lavorato con i nostri partner di sviluppo Yubico e NXP per creare un nuovo tipo di dispositivo hardware a secondo fattore resistente al phishing che abbiamo chiamato "Security Key" (Token di sicurezza) e abbiamo iniziato a distribuirlo con attenzione ai dipendenti.
- Unirsi alla FIDO Alliance: Nel 2013, Google, insieme ai nostri partner di sviluppo, si è unita alla FIDO Alliance, un'organizzazione che era stata lanciata pochi mesi prima per guidare gli standard aperti per un mondo senza password. Tutti i protocolli FIDO sono progettati per essere resistenti al phishing, quindi non c'è modo per un malintenzionato di ingannare l'utente a dare le sue credenziali FIDO, a differenza dei metodi tradizionali come le password.
- Token di sicurezza per tutti: Nel 2014, abbiamo iniziato ad offrire a tutti la Security Key, ora basata su uno standard FIDO aperto. Questo ha segnato la prima volta che un account di consumo online ha offerto un metodo di accesso resistente al phishing.
- Account aziendali fortemente resistenti al phishing: All'inizio del 2017, abbiamo introdotto controlli aziendali che hanno permesso a un amministratore di richiedere l'uso di una Security Key nell'accesso, disattivando altre opzioni phishable come password e OTP.
- Programma di protezione avanzata (APP): Più tardi nel 2017, abbiamo introdotto APP per aiutare le persone con alta visibilità o ad alto rischio di attacchi informatici, offrendo impostazioni di sicurezza e protezioni avanzate, tra cui Security Key. Incoraggiamo gli utenti ad alto rischio nella politica, nel giornalismo, nell'industria dell'intrattenimento e altro a iscriversi, dato che le minacce informatiche contro di loro aumentano.
- Token di sicurezza Titan: Nel 2018, abbiamo reso disponibile il Token di sicurezza Titan Titan Security Key sul Google Store. Questo è stato in risposta alle richieste di alcuni utenti APP e altri utenti di Google per una soluzione end-to-end di Google. Le Titan Security Key sono conformi a FIDO e possono essere utilizzate per qualsiasi sito web che supporti le Security Key.
- Token di sicurezza integrate per i dispositivi mobili: Nel 2019, abbiamo introdotto una funzione di Token di sicurezza integrata su Android e abbiamo fatto lo stesso nel 2020 per gli iPhone. Così chiunque abbia un Android o un iPhone potrebbe avere lo stesso livello di protezione di un Token di sicurezza senza la necessità di un dispositivo separato.
- Autenticazione senza password: Nel 2019, abbiamo esteso il nostro supporto FIDO in Android in modo che qualsiasi sito web possa scegliere di registrarti di nuovo con un semplice PIN o biometrico, senza bisogno di password. Potete sperimentarlo oggi quando apri il gestore delle password sul vostro telefono Android: verifichiamo che siete davvero voi chiedendovi di sbloccare il telefono.
- Preparare il terreno per un futuro completamente privo di password: L'esteso supporto FIDO che viene annunciato oggi renderà possibile per i siti web implementare le esperienze di passkey che abbiamo descritto prima. Quando il supporto passkey diventerà disponibile in tutto il settore nel 2022 e 2023, avremo finalmente la piattaforma internet per un futuro veramente senza password.
Siamo entusiasti di ciò che il futuro di questo settore ha in serbo per noi. Detto questo, comprendiamo che ci vorrà ancora del tempo prima che questa tecnologia sia disponibile sui dispositivi di tutti e che gli sviluppatori di siti web e app ne traggano vantaggio. Le password continueranno a far parte delle nostre vite mentre facciamo questa transizione, quindi rimarremo dedicati a rendere gli accessi convenzionali più sicuri e più facili attraverso i nostri prodotti esistenti e l'innovazione continua.