Come sincronizzare le chiavi di accesso tra i dispositivi senza morire nel tentativo

Le chiavi di accesso o chiavi di accesso Stanno cambiando completamente il modo in cui accediamo a siti web e app. Non c'è bisogno di memorizzare password complicate o inviare continuamente codici SMS: basta sbloccare il telefono, usare l'impronta digitale, il riconoscimento facciale o un PIN e il gioco è fatto. E la cosa più interessante per l'uso quotidiano è che queste credenziali possono essere sincronizzazione tra dispositivi in modo sicuro

Se lo chiedi Come sincronizzare le chiavi di accesso tra i dispositiviChe ruolo giocano Google, Apple, Microsoft o i gestori di password? Cosa succede se perdi il cellulare? Come si comportano browser come Chrome o servizi come Amazon, HubSpot o Microsoft Authenticator? Ecco una guida completa che riunisce tutte queste informazioni, spiegate in termini semplici e tenendo conto dell'utilizzo effettivo.

Cosa sono esattamente le passkey e perché stanno sostituendo le password?

Le chiavi di accesso sono credenziali crittografiche di chiave pubblica e privata Queste sostituiscono le password tradizionali. Invece di digitare un testo che qualcuno potrebbe rubare o indovinare, il tuo dispositivo genera una coppia di chiavi: una chiave pubblica che viene memorizzata sul server del servizio (Google, Amazon, la tua università, ecc.) e una chiave privata che rimane protetta sul tuo cellulare, computer o portachiavi digitale.

Quando accedi con le passkey, il servizio ti invia una richiesta di verifica e il tuo dispositivo firma tale richiesta con chiave privata conservata in modo sicuroQuella chiave non lascia mai il dispositivo; il server vede solo la firma e la chiave pubblica già registrata. Ecco perché sono così difficili da rubare, riutilizzare o sfruttare in attacchi di massa.

A differenza delle password classiche, le passkey sono progettate per essere multi-dispositivo e multi-piattaformaSi basano sugli ecosistemi di Apple, Google, Microsoft e Gestori di password compatibili con FIDO2 (1Password, Dashlane, Bitwarden, ecc.) per poter sincronizzare la crittografia end-to-end tra i tuoi dispositivi.

Inoltre, le chiavi di accesso fungono da autenticazione multifattoriale all-in-oneCombinano qualcosa che possiedi (il dispositivo o il gestore) con qualcosa che sei o conosci (dati biometrici o un PIN per lo sblocco). Pertanto, in molti casi, non è più necessario aggiungere SMS, codici TOTP o app aggiuntive per l'autenticazione a due fattori, riducendo attriti e vulnerabilità.

Vantaggi dell'utilizzo delle passkey in termini di sicurezza ed esperienza utente

Le passkey servono a colmare quasi tutte le lacune nelle password. Dal punto di vista della sicurezza, la differenza è enorme: con le password, una violazione del database può esporre migliaia di account; con le passkey, sul server c'è una sola chiave. chiavi pubbliche senza valore in sé.

Un altro aspetto fondamentale è il resistenza al phishingPoiché la passkey è associata crittograficamente a un dominio specifico, funziona solo sul sito legittimo per cui è stata creata. Non esiste un campo di testo in cui inserire la password su un sito web falso; il browser e il sistema operativo verificano il dominio prima di utilizzare le credenziali.

Anche il problema di... scompare. riutilizzo della password su più serviziOgni passkey è univoca per un sito o un'applicazione; non c'è modo di "copiarla" e utilizzarla altrove. Questo elimina di fatto molti attacchi a catena che sfruttano il fatto che utilizziamo la stessa password ovunque.

In termini di esperienza utente, ciò che si nota in pratica è che gli accessi diventano più veloce e più leggeroInvece di ricordare e digitare un lungo testo, basta selezionare "Accedi con passkey" e autenticarsi con l'impronta digitale, il volto o il PIN. Inoltre, non è necessario cambiare password periodicamente o modificarle per renderle "sicure".

Infine, l'autenticazione tramite passkey funziona solitamente anche senza una connessione Internet locale: Il processo crittografico viene eseguito sul tuo dispositivo.È necessaria solo una connessione Internet per comunicare con il server del servizio, creare nuove password o sincronizzarle su diversi dispositivi tramite il cloud.

Come Google sincronizza le chiavi di accesso tra Android, Chrome e altri sistemi

Nell'ecosistema Google, le chiavi di accesso si basano principalmente su Gestore di password di Google (Google Password Manager, GPM). In AndroidIn Chrome e sempre più in altri sistemi, questo gestore è responsabile dell'archiviazione e della sincronizzazione delle chiavi di accesso in formato crittografato end-to-end con il tuo account Google.

Fino a tempi relativamente recenti, le cose erano più frammentate: in Chrome per macOS, le chiavi di accesso venivano salvate per impostazione predefinita nel Portachiavi iCloud e, facoltativamente, localmente nel profilo Chrome; su Android, in Google Password Manager e solo tra dispositivi Android; e in WindowsFinivano in Windows Hello o in immagazzinamento sito.

Con le ultime modifiche, Chrome con un profilo di accesso su macOS, Windows, Linux o ChromeOS (in versione beta) può Crea passkey direttamente in Google Password ManagerSalvale lì e usale per l'autenticazione. Qualsiasi browser Chrome che utilizzi lo stesso profilo Google su un altro computer sarà in grado di sincronizzare quelle passkey e utilizzarle come se fossero state create localmente.

Per proteggere l'accesso tra dispositivi, Google introduce un PIN specifico per Google Password ManagerQuesto PIN, o il tuo metodo di sblocco Su Android, funge da fattore di recupero: quando inizi a utilizzare le chiavi di accesso su un nuovo dispositivo, dovrai inserire il PIN o utilizzare lo sblocco biometrico del tuo cellulare per scaricare e utilizzare le chiavi salvate nel tuo account.

In pratica, questo significa che se hai configurato le chiavi di accesso su Android, sarai in grado di Utilizzali sul tuo computer con Chrome. (Windows, macOS, Linux, ChromeOS) a patto che tu acceda con lo stesso Account Google e confermi con il tuo PIN o con lo sblocco del dispositivo mobile. Tutto questo avviene senza che Google possa leggere le tue passkey, poiché sono crittografate end-to-end.

Sincronizzazione delle chiavi di accesso tra Apple, Microsoft e gestori di password

In Apple, le chiavi di accesso vengono memorizzate e sincronizzate utilizzando Portachiavi iCloud. Se hai un iPhone, un iPad e Mac Con lo stesso ID Apple, le chiavi di accesso create su uno qualsiasi di essi appariranno automaticamente anche sugli altri, a patto che la sincronizzazione Portachiavi sia attiva.

Questa sincronizzazione ti consente, ad esempio, di creare una chiave di accesso da Safari sul tuo Mac e poi in seguito... Accedi dall'app mobile del servizio sul tuo iPhone utilizzando Face ID o Touch ID. Inoltre, Apple utilizza hardware sicuro (come Secure Enclave) per mantenere protette le chiavi private su ogni dispositivo.

Per Microsoft, l'ecosistema ruota attorno Windows Hello e Microsoft AuthenticatorWindows 10 e Windows 11 Integrano le passkey in Edge, Chrome e altri browser compatibili, utilizzando il riconoscimento facciale, l'impronta digitale o il PIN. Queste credenziali possono essere sincronizzate tramite l'account Microsoft o strettamente collegate al dispositivo, a seconda del browser.

Un caso particolare è quello del “chiavi di accesso collegate al dispositivo"In Microsoft Authenticator, come quelli utilizzati da UCLM: queste passkey non si sincronizzano con il cloud e vengono conservate solo sul dispositivo mobile in cui sono state create. Questo aumenta la sicurezza (non c'è backup sul cloud), ma richiede di averle sempre a portata di mano." metodi di recupero alternativi (ad esempio Cl@ve o codici temporanei) in caso di smarrimento del dispositivo.

Oltre ai grandi ecosistemi, molti gestori di password di terze parti come 1Password, Dashlane o Bitwarden Supportano già le passkey. In questi casi, fungono da portachiavi separato e sincronizzabile: si crea una passkey una volta nel gestore e si può utilizzare su qualsiasi dispositivo su cui si abbia accesso a quel gestore, indipendentemente dal fatto che sia Android. iOSWindows, Linux o macOS.

Come configurare le passkey in base al sistema operativo e al browser

Affinché la sincronizzazione funzioni correttamente, il primo passo è avere l'ambiente pronto su ogni piattaforma. Sui dispositivi Apple (iOS, iPadOS, macOS) di cui hai bisogno versioni recenti del sistemaIn genere, iOS 16 o iPadOS 16 o versioni successive e il Portachiavi iCloud sono abilitati. È anche una buona idea verificare che Safari e il resto di applicazioni Utilizzare la funzione di riempimento automatico di password e passkey del sistema.

Su Android, il requisito di base è avere Android 9 o versioni successive con Google Play Services aggiornatoTuttavia, molte implementazioni più avanzate (come alcune di Authenticator) richiedono Android 14. È necessario impostare un blocco schermo sicuro (PIN, sequenza, password o dati biometrici) e abilitare "Compilazione automatica con Google", che è il luogo in cui risiede il Password Manager di Google.

Su Windows, è necessario Windows 10 (versione 1903 o successiva) o Windows 11, insieme a un browser compatibile (Chrome, Edge, Firefox nelle versioni più recenti). Tutto si basa su quello. Windows Hello come autenticatore localeUna volta configurato, il browser può registrare e utilizzare le chiavi di accesso associate al tuo Microsoft account oppure, a seconda del servizio, memorizzarli anche nel tuo gestore preferito.

Una volta che il sistema è pronto, il processo viene solitamente ripetuto quasi ovunque: si visita un sito compatibile (Google, Amazon, GitHub, HubSpot, Soyio, i servizi della propria università, ecc.), si va alla sezione sicurezza o registrazione e si sceglie "Crea passkey" o "Aggiungi metodo di autenticazione" Poi segui le istruzioni. Il dispositivo ti chiederà Face ID, Touch ID, Windows Hello, PIN o qualsiasi altro codice appropriato, e il gioco è fatto: la passkey è registrata.

Da quel momento in poi, ogni volta che tornerai sul sito vedrai un'opzione come "Accedi con la passkey" o "Usa password". Inserisci la tua email o il tuo nome utente (se richiesto), il browser interroga il tuo sistema o il tuo gestore di password e devi solo approvare con il tuo metodo biometrico o PIN.

Esempi concreti: Google, Amazon, HubSpot, Soyio e ambienti universitari

Google sta promuovendo attivamente l'uso delle passkey nei propri servizi. Puoi configurarle nelle impostazioni di sicurezza del tuo account. creare chiavi di accesso associate a dispositivi diversi (Cellulare Android, laptop, ecc.) e visualizza l'elenco dei dispositivi su cui sono attivi, con informazioni sull'ultimo utilizzo. Tutto questo è sincronizzato tramite il tuo Account Google e Password Manager.

Amazon ha anche integrato delle passkey per l'accesso agli account utente. Dalla sezione "Accesso e sicurezza", è possibile accedere alla sezione passkey, cliccare su "Configura" e da lì, Crea una o più chiavi di accesso sui tuoi dispositivi attendibiliL'accesso successivo consiste nel selezionare "Accedi con una passkey" e nell'autenticarsi tramite dati biometrici o PIN, con la possibilità di mantenere la verifica in due passaggi come livello aggiuntivo.

Nel settore aziendale, piattaforme come HubSpot hanno integrato le chiavi di accesso per facilitare un accesso senza password Sia sul desktop che nelle app mobili. Dalle impostazioni di sicurezza del tuo account, puoi generare una chiave di accesso personale che, a seconda del dispositivo, verrà salvata nel portachiavi di sistema o nel tuo gestore di password compatibile.

I servizi di identità come Soyio hanno fatto un ulteriore passo avanti e integrano le chiavi di accesso all'interno flussi di lavoro per la verifica dell'identità, il consenso e la firma dei documentiDurante la procedura di registrazione, l'utente può registrare una passkey collegata a un'identità verificata e utilizzarla per autenticare transazioni riservate, firmare documenti o gestire i consensi.

In ambito universitario, come presso l'UCLM, Microsoft Authenticator viene utilizzato per configurare le "passkey" associate all'account istituzionale. Queste passkey sono memorizzate localmente sul dispositivo mobile e non sono sincronizzate con il cloud, quindi Ogni dispositivo ha la sua chiaveSe perdi un telefono, puoi utilizzare il sistema Cl@ve o altri metodi per generare codici temporanei e impostare un nuovo codice di accesso su un altro dispositivo.

Cosa succede se si perde un dispositivo con passkey

Perdere il telefono o il computer portatile è sempre spaventoso, ma il modo in cui sono progettate le passkey rende la situazione meno drammatica di quanto sembri. Nella maggior parte degli ecosistemi moderni, le passkey sono Si sincronizzano nel cloud della piattaforma. (Portachiavi iCloud, Account Google, Account Microsoft o gestore di password di terze parti), in modo che le stesse chiavi rimangano disponibili sugli altri tuoi dispositivi.

Ad esempio, se perdi un iPhone ma hai un iPad o un Mac con lo stesso ID Apple, le tue passkey saranno ancora lì; lo stesso vale se avevi sincronizzato le passkey con il tuo account Google e hai ancora un altro dispositivo Android o un computer con Chrome su cui hai ancora effettuato l'accesso a quell'account. In questi casi, perdere un dispositivo non significa perdere l'accesso ai tuoi account.

Tuttavia, è essenziale che l'account cloud o il gestore in cui vengono sincronizzate le passkey sia protetto con un password complessa e autenticazione a due fattori (2FA)Altrimenti, se un aggressore riesce ad accedere a quell'account master, potrebbe provare a utilizzare le tue chiavi di accesso da altri dispositivi.

Se ti trovi nello scenario peggiore e perdi tutti i tuoi dispositivi, ogni ecosistema offre le proprie opzioni di recupero: chiavi di recupero, processi di verifica rigorosi, supporto tecnico specializzato, ecc. È saggio sapere in anticipo cosa procedure di recupero ogni fornitore (Apple, Google, Microsoft, il tuo gestore di password) offre e mantiene aggiornati i propri metodi di contatto e recupero.

Negli ambienti in cui le chiavi di accesso non si sincronizzano (ad esempio le chiavi di accesso associate al dispositivo in Microsoft Authenticator), è necessario essere più proattivi: configurare la chiave su più dispositivi quando possibile e mantenerla metodi di accesso alternativi (codici temporanei, sistemi come Cl@ve, email di recupero) aggiornati e disponibili.

Le migliori pratiche per sincronizzare e proteggere le tue passkey

Affinché la sincronizzazione dei dispositivi funzioni bene e non diventi un punto debole, è importante prendersi cura di alcuni aspetti di base. Il primo è assicurarsi che Assicurati che tutti i tuoi dispositivi e le tue app siano aggiornatiMolti miglioramenti della sicurezza e funzionalità di compatibilità con le passkey arrivano tramite aggiornamenti del sistema operativo, del browser o del gestore delle password.

Vale anche la pena configurare le chiavi di accesso in più di un dispositivo attendibileAd esempio, sul tuo cellulare e sul tuo laptop, oppure sul tuo cellulare e sul tuo tablet. In questo modo, se uno dei due dovesse guastarsi o rompersi, avrai comunque un altro modo diretto per accedere e creare nuove passkey o revocare quelle vecchie.

Un'altra buona abitudine è quella di controllare occasionalmente la sezione sicurezza dei tuoi account importanti (Google, Apple, Amazon, Microsoft, HubSpot, ecc.) per Rimuovi le passkey associate ai dispositivi che non usi piùCiò riduce la superficie di attacco e consente di avere un controllo più chiaro su quali credenziali sono ancora attive.

Se ti affidi a gestori di password di terze parti per le tue passkey, verifica di avere Sincronizzazione sicura tra dispositivi, tra cui 2FA, chiavi master complesse e, ove possibile, opzioni di ripristino che non indeboliscano la protezione (evitare, ad esempio, di ripristinare un account critico con un semplice SMS).

Infine, non dimenticare di mantenere aggiornati i tuoi metodi di recupero tradizionali: email alternative, numeri di telefono di recupero, codici di backup e qualsiasi altra opzione offerta dal tuo provider. Anche se le passkey sono molto sicure, Il recupero dell'account rimane una questione critica e merita un po' di attenzione periodica.

Con tutti questi strumenti a disposizione (ecosistemi aggiornati, chiavi di accesso sincronizzate in modo sicuro, più dispositivi affidabili e metodi di recupero affidabili), otterrai il massimo dalle chiavi di accesso: accessi molto più rapidi e convenienti, un enorme miglioramento nella sicurezza contro il phishing e la tranquillità di sapere che anche se un dispositivo viene perso o rotto, La tua identità digitale non finisce nell'aria.