Sempre al pc, sempre con uno smartphone in mano: siamo una generazione che dipende dalla tecnologia per qualunque cosa. In tutto questo, gestire le password che ci consentono l’accesso alle decine di servizi a cui proprio non possiamo rinunciare, è diventato praticamente un secondo lavoro, e pure non pagato. Siamo partiti tutti con la stessa parola d’ordine per ogni cosa – magari il nome del cane o la data di nascita – finché i siti non hanno iniziato a pretendere di tutto: una maiuscola qui, un numero là, un carattere speciale che non ricordiamo mai dove sta sulla tastiera. Il risultato? Un caos totale. E il nervoso ogni volta che leggiamo la scritta “password errata”.
Oggi la situazione è quasi comica. C’è chi usa la stessa parola per la banca e per il sito delle ricette, rischiando grosso, e chi invece la cambia ogni due settimane e puntualmente se la dimentica dopo dieci minuti. Quante volte ci siamo ritrovati a fissare lo schermo imprecando perché il sistema ci diceva, appunto, “password errata” al terzo tentativo? A quel punto parte la solita trafila: clicca su “recupera”, aspetta l’email, inventane una nuova che non sia uguale alle precedenti cinque. È un loop infinito che fa perdere tempo e pazienza.
Per non parlare dei metodi “fai da te” per non restare chiusi fuori dai nostri account. C’è chi ha l’agenda sulla scrivania con decine di codici scarabocchiati, una soluzione che sembra geniale finché non sei in viaggio o fuori casa e ti rendi conto di aver lasciato il quaderno nel cassetto. In quel momento sei praticamente spacciato: senza quel pezzetto di carta non puoi fare un bonifico, controllare un volo o entrare nella tua stessa mail. È una schiavitù digitale che ci portiamo dietro da anni, ma che finalmente sta per sparire. Da qualche mese, infatti, colossi come Google e Apple hanno deciso che è ora di darci un taglio, introducendo le passkey. Allora, password addio? Non proprio.
Il cambiamento: perché la doppia autenticazione non basta più
Prima di arrivare a questa piccola rivoluzione comunque abbiamo provato a tappare i buchi della sicurezza con l’autenticazione a due fattori, quella che in gergo tecnico chiamano 2FA. Ormai ci siamo abituati, però ammettiamolo: è una scomodità infinita. Funziona così: metti la password (che già fai fatica a ricordare) e poi devi aspettare un SMS con un codice o aprire un’app specifica per recuperare altri sei numeri che scadono dopo trenta secondi. È un continuo rimbalzo tra una schermata e l’altra che crea ansia (vedere quel conto alla rovescia è snervante), anche perché questo meccanismo si inceppa facilmente se il messaggio non arriva (magari non c’è campo) o se abbiamo il telefono scarico.
Questo sistema è nato perché le semplici password non bastavano più a proteggerci, erano troppo facili da indovinare o da rubare. È vero che oggi i truffatori online sono sempre più scaltri e aggiornati, però anche noi a volte gliel’abbiamo servita su un piatto d’argento. Non avete idea di quante persone usino la parola “password” come password, ancora oggi. O, in caso di numeri, la sequenza 1234.
Ecco perché si è pensato di fare un passo avanti, ma la verità è che la doppia autenticazione ha aggiunto un peso ulteriore alla nostra giornata digitale. Ogni volta che vogliamo controllare il saldo in banca o fare un acquisto veloce, dobbiamo superare una gimkana di autorizzazioni. È un po’ come avere una porta con dieci serrature diverse: sei più sicuro, certo, ma quanto tempo perdi ogni volta che devi rientrare in casa? Le passkey nascono proprio per risolvere questo paradosso: darci la massima sicurezza possibile senza costringerci a fare i salti mortali tra codici OTP e messaggini che arrivano sempre nel momento sbagliato, ovvero quando non servono più.
In pratica, la passkey non è una parola che dobbiamo sforzarci di ricordare, ma una chiave digitale vera e propria che portiamo sempre con noi. Il concetto è semplicissimo: invece di digitare una sequenza infinita di lettere e numeri, usiamo lo sblocco del nostro smartphone. Se siete abituati a entrare nel telefono con l’impronta digitale, il riconoscimento del volto o anche solo con il classico PIN, avete già tutto quello che serve. Quando un sito o un’app vi chiede l’accesso, basterà confermare la vostra identità come fate per sbloccare lo schermo. Fine della trafila.
Il vantaggio enorme è che non dobbiamo più inventare nulla di nuovo. Chi non ha mai avuto il dubbio tra un ‘1’ e una ‘l’ minuscola o non ha imprecato perché aveva il tasto delle maiuscole inserito? Con questo sistema, il problema sparisce alla radice. La ‘chiave’ viene creata direttamente dal dispositivo e comunicata al sito in modo criptato. Noi non la vediamo nemmeno, e proprio per questo nessuno può rubarcela. Se un domani un hacker dovesse bucare il database di un sito dove siete registrati, non troverebbe la vostra password perché, semplicemente, quella password non esiste più.
E cosa succede se il telefono con le passkey sparisce?
C’è però un dubbio che assale molti: e se perdo il telefono? Beh, ci hanno pensato i giganti tecnologici che usiamo ogni giorno. Sia Apple che Google, infatti, salvano queste chiavi digitali nel cloud (rispettivamente su iCloud o nell’account Google). Se comprate un telefono nuovo, basta accedere con il vostro account principale e tutte le vostre ‘porte digitali’ si riapriranno magicamente, senza dover riconfigurare nulla o cercare vecchi foglietti di carta sparsi per casa.
Passare a questo sistema è molto più semplice di quanto si possa immaginare e, probabilmente, molti di voi lo hanno già fatto senza nemmeno rendersene conto. Se utilizzate un iPhone o un dispositivo Android, il sistema operativo vi avrà già proposto, almeno una volta, di “salvare l’accesso” tramite il riconoscimento facciale o l’impronta. Accettando quella richiesta, avete creato la vostra prima passkey.
Per chi vuole fare le cose con ordine, il punto di partenza sono le impostazioni di sicurezza dei grandi account. Google, ad esempio, ha una sezione dedicata dove basta un clic per trasformare il proprio smartphone nella chiave principale d’accesso. Lo stesso vale per Amazon, PayPal o i principali social network: andando nelle impostazioni del profilo, alla voce “Sicurezza”, troverete l’opzione per attivare le passkey. Una volta configurate, la prossima volta che proverete a entrare nel sito dal vostro computer, vedrete apparire una notifica sul telefono che vi chiederà semplicemente un tocco o uno sguardo. Niente codici da copiare, niente ansia da scadenza.
Certo, ci vorrà del tempo prima che le vecchie password spariscano del tutto. Non tutti i siti web sono ancora pronti per questo salto tecnologico, e per un po’ dovremo ancora convivere con qualche codice segnato sull’agenda o qualche tentativo fallito di ricordare la data di nascita del nostro primo gatto. Ma la strada è tracciata.