Come implementare il login senza password con Google Workspace

Google ha recentemente reso disponibile in Open Beta l'autenticazione tramite Passkey per gli account Google Workspace. Questa funzionalità rafforza la protezione contro minacce come gli attacchi di phishing e, allo stesso tempo, rende l'accesso più immediato. Gli utenti registrati dovranno semplicemente inserire l'indirizzo email del proprio account Google e completare l'autenticazione su un dispositivo registrato come Passkey per quell'account.

Schermata di accesso con autenticazione senza password.

L'autenticazione tramite Passkey rappresenta il primo passo verso un accesso senza password agli account Google Workspace. Una volta attivata, gli utenti Google possono accedere ai propri account tramite scansione del volto, impronta digitale, PIN o blocco schermo del dispositivo Passkey. L'attivazione dell'autenticazione senza password non disabilita il metodo tradizionale basato sulla password. Il principale vantaggio della Passkey è che, salvo casi specifici, gli utenti non dovranno più ricordare la password dell'account né copiarla e incollarla da un password manager. Se il dispositivo Passkey viene smarrito o non è disponibile nel momento in cui serve effettuare l'accesso, basta cliccare su "Prova un altro modo" per tornare al metodo classico con password e verifica in due passaggi. Quest'opzione torna utile, ad esempio, quando si accede a un account Google da una macchina virtuale o da un dispositivo remoto.

Un altro modo in cui gli amministratori possono leggere questa funzionalità è il seguente: una volta che l'utente registra una Passkey sul proprio account Google, ogni autenticazione a Google Workspace genera una richiesta sul dispositivo registrato. Tale dispositivo deve essere protetto da una password o da un altro tipo di blocco schermo: è un prerequisito per poter fungere da passkey. L'utente potrà accedere al proprio account solo se ha con sé il dispositivo passkey ed è in grado di sbloccarlo con il meccanismo di blocco schermo configurato. Questo elimina la necessità di inserire la password dell'account Google, perché come passkey viene utilizzato un dispositivo a secondo fattore, a sua volta protetto da un blocco schermo impostato dall'utente prima ancora di poter usare il login senza password.

Al momento della stesura di questo articolo, l'autenticazione tramite Passkey non è disponibile quando si aggiunge un account Google a un dispositivo mobile, e l'uso delle passkey potrebbe non essere supportato a seconda del sistema operativo e del browser quando si naviga in modalità privata (incognito o equivalente).

Schermata "Prova un altro modo" per accedere con password e verifica in due passaggi.

1. Gli amministratori devono consentire di saltare la password in fase di accesso tramite l'apposito controllo nell'Admin Console.
2. Gli account Google Workspace devono utilizzare Google come identity provider. L'autenticazione tramite Google Passkey non si applica quando gli utenti accedono tramite un identity provider di terze parti.
3. I computer e i dispositivi mobili degli utenti devono disporre di un browser supportato, ad esempio:

• Chrome 109 o successivo
• Safari 16 o successivo
• Edge 109 o successivo

4. Le passkey possono essere create sui seguenti dispositivi:

• Un laptop o desktop con almeno Windows 10, macOS Ventura o ChromeOS 109
• Un dispositivo mobile con almeno iOS 16 o Android 9
• Una chiave di sicurezza hardware compatibile con il protocollo FIDO2

5. Per creare e utilizzare una Passkey, il dispositivo deve avere il blocco schermo attivo, oltre al Bluetooth se si vuole usare la passkey di un dispositivo mobile per accedere da un altro computer.

Come abilitare la funzionalità e registrare le passkey

Gli amministratori di Google Workspace devono abilitare l'autenticazione senza password dalla Google Workspace Admin Console, a livello di unità organizzative (OU) o di gruppi. Tra l'attivazione di questo meccanismo di autenticazione e il momento in cui gli utenti vedranno l'opzione per abilitare il login senza password trascorrerà un breve tempo di propagazione.

Controlli dell'Admin Console per la modalità senza password (Beta).

Una volta abilitata l'autenticazione senza password dall'admin console, gli utenti possono andare su https://g.co/passkeys per visualizzare, creare e rimuovere le Passkey dai propri account. Come buona pratica di sicurezza, le passkey andrebbero create solo su dispositivi personali e non condivisi: chiunque sia in grado di sbloccare il dispositivo potrà infatti accedere agli account Google a esso associati. Per ora il login tramite passkey non può essere reso obbligatorio, ma può essere offerto agli utenti come opzione per accedere al proprio account Google.

Visualizzazione e gestione delle passkey sul proprio account Google.

Una volta registrata una Passkey, gli utenti possono attivare l'esperienza di accesso passkey-first, senza password. All'indirizzo https://myaccount.google.com/security è disponibile un controllo a livello utente per scegliere di saltare l'autenticazione tramite password quando possibile e accedere unicamente con una passkey o una richiesta sul dispositivo.

Selettore per saltare la password quando possibile.

Conclusione

Il nuovo controllo per l'autenticazione senza password sugli account Google è ora disponibile in open beta sia per gli account personali sia per quelli aziendali. Attivare questa funzionalità consente di aumentare la sicurezza dell'account e di semplificare l'esperienza di accesso. Google è solo uno dei tanti cloud service provider a offrire questo tipo di autenticazione: l'elenco dettagliato degli altri provider che hanno implementato il login senza password è disponibile su https://passkeys.directory/ (gestito da 1Password.com).