La settimana scorsa, Google ha annunciato il suo supporto alle passkey affermando che era “l’inizio della fine delle password”. Mentre questa affermazione può avere un certo fondamento, le passkey rappresentano anche l’inizio della fine del controllo dell’utente.
Le password attuali sono indipendenti dalla piattaforma, generalmente sicure e fanno parte di un ecosistema più ampio. Le passkey, d’altra parte, sono specifiche del fornitore e, sebbene possano essere più sicure delle password, ignorano una parte importante della sicurezza informatica: il decentramento. Inoltre, i maggiori sostenitori delle passkey sono aziende come Microsoft, Google e Apple che traggono il massimo vantaggio dalla diluizione del controllo degli utenti.
Le passkey sono una nuova forma di autenticazione proposta dalla FIDO (Fast Identity Online) Alliance, che mira a sostituire le password. Il sistema utilizza la crittografia a chiave pubblica per autenticare l’accesso ai siti web. In questo metodo, un server sul sito Web salva una “chiave pubblica”, che è una parte del puzzle, mentre l’altra parte, una chiave privata, memorizzata sul dispositivo di un utente, funziona come metodo per dimostrare che l’utente è quello che accede al sito web.
Tuttavia, mentre le passkey sembrano un’opzione alternativa più sicura e più semplice alle password, rappresentano un tiro alla fune tra diversi aspetti della sicurezza informatica. Le soluzioni per rendere le password più forti, come l’autenticazione a più fattori, o per renderle ridondanti, come OAuth e gestori di password, esistono già e sono ampiamente diffuse. Mentre queste opzioni mantengono il potere nelle mani degli utenti, le passkey, d’altra parte, danno più potere alle aziende che le gestiscono.
Gli utenti devono considerare anche la centralizzazione del controllo delle passkey. Ad esempio, per attivare le passkey sui dispositivi Apple, gli utenti devono attivare sia il servizio Portachiavi che iCloud. Inoltre, le passkey non sono esportabili, impedendo loro di essere spostate su altri dispositivi dove gli utenti vorrebbero utilizzare le passkey.
Inoltre, l’implementazione delle passkey da parte delle grandi aziende tecnologiche potrebbe aumentare il controllo centralizzato delle grandi tecnologie, a scapito della privacy degli utenti. Le passkey consentono alle aziende un’altra sede per bloccare ulteriormente i clienti nei loro servizi con il pretesto della sicurezza e della facilità d’uso. Questa mossa diluisce il potere degli utenti mentre moltiplica il problema dei provider di identità centralizzati.
In definitiva, se le passkey diventeranno l’unica opzione di accesso in futuro, l’idea che gli utenti abbiano il controllo sulle proprie password svanirà, sostituita dal controllo centralizzato delle grandi tecnologie. Le passkey invadono anche il concetto di identità auto-sovrana, in cui agli individui viene dato il controllo sulle proprie informazioni.
Le soluzioni di identità decentralizzate potrebbero essere una valida alternativa alle passkey. Tuttavia, il slancio portato da FIDO e dai suoi membri potrebbe essere difficile da spezzare, allontanando ulteriormente Internet dalle sue radici open source.
Gli utenti dovrebbero essere consapevoli delle implicazioni della scelta delle passkey come opzione di autenticazione. Mentre possono rappresentare un’alternativa interessante alle password, i vantaggi offerti dovrebbero essere bilanciati con le conseguenze di una maggiore centralizzazione e controllo da parte delle grandi aziende tecnologiche.
Inoltre, gli utenti dovrebbero considerare anche la possibilità di utilizzare soluzioni di autenticazione decentralizzate e decentralizzate per mantenere il controllo sulle proprie informazioni e garantire la propria privacy.