Le nuove passkey. Gioie e dolori. Una perdita di controllo da parte dell’utente?

Paolo Brambilla - 09/05/2023 07:50:10 (updated 09/05/2023 08:02:06)

Durante il World Password Day, la Giornata internazionale delle Password del 4 maggio scorso, abbiamo celebrato la dirompente affermazione delle passkey, Qui il link. Le passkey utilizzano metodi crittografici per autenticare l’identità. Creata utilizzando un algoritmo, ogni passkey è crittograficamente forte e unica.

La stampa mondiale all’unisono afferma che le passkey sono un modo innovativo per accedere alle app e ai servizi Google senza password.
Sono più sicure, convenienti e semplici delle password, poiché utilizzano il sensore biometrico, il PIN o la sequenza del proprio dispositivo per autenticare l’accesso. Ovviamente per utilizzare le passkey è necessario un dispositivo che le supporti e un account Google personale con cui creare e utilizzare le passkey su qualsiasi sito Web o app che le offra come opzione. Le passkey sono memorizzate in Google Password Manager, dove possono essere visualizzate e gestite. E si può anche eliminare qualsiasi passkey che non si desideri più utilizzare.

Tutto perfetto? No.

Jeff Johnson (My apps, PayPal.Me, Mastodon) lancia un allarme: “Passkey: una perdita di controllo da parte dell’utente?”
Una cosa è già dolorosamente chiara: le BigCo stanno arrivando per le nostre password, quindi le passkey non possono essere ignorate. Google ha recentemente scritto sull’inizio della fine della password. Apple ha anche indicato che desidera che le passkey sostituiscano ed eliminino le password. Un manager del team Authentication Experience di Apple ha detto “Se le password stanno scomparendo, ho ancora bisogno di un gestore di password? Crediamo che il futuro sia senza password e vogliamo aiutare tutti ad arrivarci più velocemente”. Sebbene la sequenza temporale sia sconosciuta al momento, la fine del gioco è nota: la fine delle password, il gioco è finito.

Una passkey, in sostanza, non è altro che una coppia di chiavi crittografiche, una chiave pubblica e una chiave privata, come si userebbe con ssh. Come buona pratica, si dovrebbero generare chiavi ssh separate per ogni servizio ssh, proprio come si dovrebbero generare password casuali separate per ogni servizio web. Tuttavia, questo è facoltativo e si potrebbe utilizzare la stessa coppia di chiavi pubblica-privata con più servizi ssh.

Nascono i problemi

Fin qui tutto bene. Allora, qual’è il problema? “Con password e chiavi ssh, posso guardarli” dice Jeff Johnson “Posso copiarli e incollarli. Posso scriverli su un pezzo di carta. Posso importarli ed esportarli. Posso eseguirne il backup su un disco rigido esterno. Invce niente di tutto ciò è possibile con le passkey. Infatti, Apple richiede di abilitare iCloud e iCloud Keychain per salvare una passkey su un dispositivo macOS o iOS”.

Jeff Johnson: odio iCloud

“Perché odio iCloud? È inaffidabile, con i servizi Web di Apple che si interrompono non di rado. È una violazione della privacy, perché il tuo dispositivo telefona costantemente a casa ad Apple. È invadente, perché quando abiliti iCloud, vuole caricare immediatamente tutto (calendari, contatti, documenti, posta, messaggi) dal tuo dispositivo al cloud, senza chiedere prima. Ogni volta che installi una nuova app che supporta iCloud, la sincronizzazione viene abilitata silenziosamente, senza il tuo consenso; devi guardare le tue impostazioni di sistema come un falco! A volte iCloud sembra abilitare le cose senza una ragione apparente. E se esci da iCloud e accedi di nuovo (ho dovuto farlo per il test del software), dimentica le tue impostazioni precedenti e abilita di nuovo tutto. (Ho inviato feedback ad Apple su questo.) È traballante. In realtà non puoi fidarti di iCloud per la sincronizzazione corretta. Ad esempio, il mese scorso ho aiutato mia madre ad aggiornare il suo Mac a una nuova versione di macOS e per qualche motivo iCloud ha duplicato tutti i suoi contatti! È opaco. Non puoi vedere i dettagli specifici dell’operazione di sincronizzazione di iCloud o gestirla tu stesso. Questo vale anche per le passkey. Ho guardato il portachiavi iCloud in macOS Keychain Access e tutto quello che ho visto per le passkey era un mucchio di file SOSDataSource-ak con dati a cui non potevo accedere. iCloud non è sicuro. Apple rende troppo facile per i criminali “recuperare” il tuo ID Apple e apparentemente impossibile per te bloccare volontariamente il tuo account in modo da impedire il recupero da parte di qualcun altro. (Personalmente, non voglio mai che il mio ID Apple venga reimpostato senza la mia password attuale o la mia chiave di ripristino crittograficamente sicura. La mia routine di backup multiplo ridondante assicura che non li perderò mai.)”

Lasciamo parlare Jeff Johnson a ruota libera

Ho la sensazione, da come ho visto comportarsi Apple e da come parlano i dipendenti Apple, che Apple non abbia intenzione di allentare mai i loro requisiti per le passkey. E per essere chiari, questi requisiti non sono essenziali, sono arbitrari, paternalistici. Per quanto ne so, lo standard WebAuthn non richiede esplicitamente a un autenticatore di utilizzare la sincronizzazione cloud o evietare l’esportazione manuale delle passkey. L’atteggiamento di Apple sembra essere che non ci si può fidare degli utenti con le proprie passkey. Il mio problema fondamentale è che non mi fido di Apple per gestire le mie passkey, soprattutto non tramite iCloud, né acconsento a sottopormi all’obbligo di utilizzare i loro servizi cloud.

Quali sono le alternative per consentire al sistema operativo di salvare le passkey? 1Password afferma di fornire il supporto per la passkey nel 2023. Tuttavia, non mi piace neanche 1Password. All’inizio era un buon modo, ma ho smesso di usarlo molti anni fa quando 1Password versione 4 ha rimosso il supporto del portachiavi Mac, rendendolo effettivamente 2 password invece di 1 password. Il prodotto è solo peggiorato da allora, con la società che prende finanziamenti VC, costringendo gli utenti nel loro servizio cloud proprio come Apple e adottando pagamenti “in abbonamento” – più precisamente, noleggio software – che odio.

Puoi salvare le passkey su una periferica hardware separata come una YubiKey. Ho acquistato una YubiKey per un account Google quando Google richiedeva l’autenticazione a due fattori per gli sviluppatori del Chrome Web Store. (StopTheMadness era nel Chrome Web Store prima che Google eliminasse il sistema di pagamento del negozio.) Odio anche usare una YubiKey, perché è così scomodo. Ogni volta che devo accedere, devo estrarre la YubiKey da un cassetto. E dall’anno scorso, quando ho acquistato un nuovo MacBook Pro senza porte USB 2, devo anche procurarmi un dongle solo per collegare la mia YubiKey. Dovrei portare con me la YubiKey e il dongle USB ovunque porto il mio laptop? Anche l’intera faccenda sembra essere un po’ un teatrino della sicurezza, perché la YubiKey non è collegata alla mia biometria, quindi chiunque ne sia fisicamente in possesso potrebbe toccare il pulsante per autenticarsi. In ogni caso, le passkey in YubiKeys non sono copiabili, quindi il problema del backup esiste ancora con questo metodo di salvataggio delle passkey.

Le persone che guidano l’adozione delle passkey sono per lo più grandi aziende tecnologiche e banche. Non sono convinto che abbiano a cuore i miei interessi ed è improbabile che “libertà dell’utente” sia nel loro vocabolario. Sono più che felici di rinchiuderti nei loro ecosistemi e stabilire tutte le regole su come puoi vivere nel mondo informatico. Ci sono problemi reali con le password, ovviamente, ma temo che l’eliminazione delle password significhi l’eliminazione della libertà e conduca a uno stato di polizia passepartout, per così dire.

Qual è la soluzione per Jeff Johnson?

Qual è la soluzione? Per quanto riguarda Apple, sarei soddisfatto se le passkey potessero essere salvate in un portachiavi locale, non iCloud, come normali portachiavi con supporto per l’esportazione e l’importazione. Idealmente, il formato di esportazione sarebbe multipiattaforma e non vedo perché non potrebbe essere multipiattaforma, dato che le passkey sono solo coppie di chiavi pubbliche-private legate a un dominio. In tal caso, sarei felice di eliminare le password Web, poiché utilizzo già password Web generate in modo casuale e gestite da portachiavi che non possono essere memorizzate (da me). A meno che e fino a quando Apple non fornisca una soluzione del genere, tuttavia, rimango estremamente scettico nei confronti delle passkey e mi sento incline a combattere contro l’idea di sostituire ed eliminare le password.

Addendum
Dopo la pubblicazione di questo post sul blog, sono state rilasciate alcune dichiarazioni su Mastodon dal suddetto responsabile del team Authentication Experience di Apple. (Ancora una volta, il potere del blogging è stato dimostrato! Grazie al commentatore di Hacker News che si è collegato a queste affermazioni.)

Le passkey saranno importabili ed esportabili, tra dispositivi e tra gestori di passkey. Non lo sono in questo momento, ma lo saranno. È qualcosa che viene definito e progettato. https://hachyderm.io/@rmondello/110329118270492669
Questa è una fantastica notizia! Mi chiedo perché le passkey siano state spedite in iOS e macOS senza questa esportazione e importazione, ma almeno le passkey non hanno ancora raggiunto la massa critica. Aspetto di vedere la soluzione proposta.

E sorprendentemente, io dico che questa non è una novità. Alcune aziende e persone sono già registrate su questo. 🙂 https://hachyderm.io/@rmondello/110329138081071052
Bene, è una novità per me, come qualcuno che segue da vicino le notizie tecnologiche! Vorrei che ci fossero collegamenti qui al disco, o chiarimenti su quali compagnie e persone fossero nel disco. Queste aziende e persone includevano Apple e Google?

Addendum 2
Riflettendo ulteriormente, non trovo la risposta di cui sopra così soddisfacente ora come è apparsa alla prima impressione. Nello specifico, non è stata fatta alcuna menzione del requisito del portachiavi iCloud di Safari per il salvataggio delle passkey. Una cosa è dire: “Certo che puoi migrare dal gestore passkey di Apple a un gestore diverso, quindi non sei bloccato!” Ma questa non era la mia preoccupazione principale come utente Apple di lunga data. Non voglio passare a un’altra piattaforma o a un gestore di passkey di terze parti. Voglio solo che Safari mi consenta di salvare le passkey su un portachiavi non iCloud e continuare a utilizzare quelle passkey per accedere ai siti Web in Safari. Se questo non è sul tavolo, l’esportazione è in gran parte irrilevante per me. Non voglio dover esportare dal portachiavi iCloud, il che vanificherebbe l’intero punto di evitare iCloud in primo luogo. La mia lamentela principale riguardava il requisito di iCloud e se Apple dirà: “Finché utilizzi il nostro gestore di passkey, devi utilizzare iCloud, ma sei libero di utilizzare un diverso gestore di passkey, non sarebbe affrontare le mie preoccupazioni È un licenziamento delle mie preoccupazioni.

Jeff Johnson (My apps, PayPal.Me, Mastodon)

Le nuove passkey. Gioie e dolori. Una perdita di controllo da parte dell’utente?

Tutto perfetto? No.

Nascono i problemi

Jeff Johnson: odio iCloud

Lasciamo parlare Jeff Johnson a ruota libera

Qual è la soluzione per Jeff Johnson?

Cristina MelchiorriMente e denaro

Naviga le onde del pregiudizio: le donne consulenti finanziarie sono autorevoli?

I Due Lupi nell’anima della finanza

L’impazienza della mente che getta benzina sul fuoco in tempo di crisi

Allena la tua Money Mind con Warren Buffet

8 nemici invisibili delle nostre decisioni finanziarie

Sala Stampa

Clinic Medical Beauty lancia i Clinic Bar. Dagli Stati Uniti la nuova tendenza della medicina estetica

Mirabaud Asset Management lancia una strategia obbligazionaria a scadenza a cinque anni

Lombard Odier sigla una partnership con Robeco per l’offerta di un nuovo fondo PrivilEdge

Comunicati stampa

Strategie di ADATTAMENTO, COMUNICAZIONE e MITIGAZIONE per diminuire gli impatti dei CAMBIAMENTI CLIMATICI al centro di CLIMATE TECH e AQUALITY FORUM

La sfida di Skift: far crescere le imprese rispettando l’ambiente. A Bologna i partner del progetto europeo per l’economia sociale

WEBBOH – GEN Z e mobilità del futuro: green e sicurezza al primo posto