OpenAI introduce Advanced Account Security con passkeys e hardware keys
OpenAI ha attivato Advanced Account Security, un'opzione di sicurezza avanzata per ChatGPT e Codex che elimina l'autenticazione basata su password. Il sistema richiede l'uso di passkeys o hardware security keys, riducendo drasticamente i rischi di phishing e accessi non autorizzati. La nuova funzionalità è stata progettata per utenti ad alto rischio, tra cui giornalisti, ricercatori e dissidenti politici.
Risposta Rapida
- Advanced Account Security sostituisce le password con passkeys o hardware keys
- Disattiva il recupero via email/SMS, limitando il recupero a backup passkeys e security keys
- Le sessioni di accesso vengono accorciate per limitare l'esposizione in caso di compromissione
- Le conversazioni degli utenti con l'opzione abilitata sono escluse dal training dei modelli
- L'adozione sarà obbligatoria per i membri di Trusted Access for Cyber dal 1 giugno 2026
Modifiche all'iscrizione e miglioramenti di sicurezza
Gli account iscritti utilizzano esclusivamente passkeys o hardware security keys per l'accesso, con la disabilitazione permanente delle password. Questo approccio elimina il recupero tramite email e SMS, due vie comuni sfruttate dagli attaccanti quando il numero di telefono o la casella di posta di un utente sono compromessi. Il recupero è limitato a passkeys di backup, security keys e recovery keys fisici posseduti dall'utente.
Una volta attivata l'opzione, OpenAI non può più assistere con il recupero dell'account, spostando interamente la responsabilità di gestione dei credenziali di backup all'utente. Le sessioni di accesso sono state accorciate per ridurre il tempo di esposizione in caso di compromissione di un dispositivo o di una sessione attiva. La configurazione copre sia ChatGPT che Codex sotto lo stesso sistema di login, semplificando la gestione della sicurezza per gli utenti che utilizzano entrambi i servizi.
Conversazioni escluse dal training dei modelli
Le conversazioni degli utenti che hanno attivato Advanced Account Security sono automaticamente escluse dal training dei modelli di OpenAI. Questa impostazione predefinita mira a proteggere gli utenti che gestiscono informazioni sensibili personali o professionali, offrendo garanzie che i loro input non saranno utilizzati per migliorare i modelli linguistici.
Collaborazione con Yubico e supporto FIDO
OpenAI ha stretto una partnership con Yubico per offrire prezzi preferenziali su un bundle di due YubiKeys specificamente progettate per l'Advanced Account Security. Il bundle include la YubiKey C Nano, ideale per l'autenticazione quotidiana su laptop, e la YubiKey C NFC, utile per il backup e l'uso su dispositivi mobili.
Gli utenti possono comunque utilizzare qualsiasi security key conforme a FIDO o passkeys software-based. La soluzione di OpenAI segue gli stessi standard adottati da Google, Microsoft e GitHub, basati sulle specifiche FIDO2 e WebAuthn per l'autenticazione resistente al phishing.
Adozione obbligatoria per Trusted Access for Cyber
Dal 1 giugno 2026, i singoli membri di Trusted Access for Cyber che accedono ai modelli più avanzati e permissivi di OpenAI dovranno obbligatoriamente abilitare Advanced Account Security. Le organizzazioni con accesso fidato possono, in alternativa, attestare di avere un'autenticazione resistente al phishing come parte del loro flusso di lavoro di single sign-on.
Implicazioni per la sicurezza degli account
L'adozione di questa nuova funzionalità rappresenta un passo significativo verso la sicurezza degli account su piattaforme sensibili. Eliminando le password e affidandosi a metodi di autenticazione più robusti, OpenAI riduce drasticamente il rischio di violazioni legate a credenziali compromesse. Questo è particolarmente rilevante per gli utenti che gestiscono informazioni sensibili, offrendo un livello aggiuntivo di protezione contro attacchi informatici sempre più sofisticati.
Confronto con altre soluzioni di sicurezza
Advanced Account Security si allinea con le tendenze attuali nel campo della sicurezza informatica, dove l'autenticazione basata su password viene progressivamente sostituita da metodi più sicuri. La scelta di OpenAI di adottare passkeys e hardware security keys riflette una strategia di sicurezza proattiva, in linea con le pratiche di altre grandi aziende tecnologiche. Questo approccio non solo migliora la sicurezza degli utenti individuali, ma contribuisce anche a stabilire nuovi standard per l'autenticazione sicura nelle applicazioni basate su cloud.
Considerazioni per gli utenti
Per gli utenti di ChatGPT e Codex, l'attivazione di Advanced Account Security richiede una pianificazione attenta. È essenziale assicurarsi di avere accesso a più passkeys o security keys di backup, preferibilmente di diversi tipi per garantire la disponibilità in caso di smarrimento o malfunzionamento. Gli utenti dovrebbero anche considerare l'impatto sulla loro routine di accesso quotidiano, adattandosi all'uso di dispositivi fisici per l'autenticazione.
Per chi gestisce informazioni sensibili, l'esclusione automatica delle conversazioni dal training dei modelli rappresenta un vantaggio significativo. Tuttavia, è importante essere consapevoli che questa impostazione non è reversibile senza disattivare completamente l'Advanced Account Security. Gli utenti devono quindi valutare attentamente i pro e i contro prima di procedere con l'adozione.
Impatto sulla privacy e conformità normativa
L'esclusione automatica delle conversazioni dal training dei modelli solleva importanti questioni di privacy. OpenAI si allinea così alle normative più stringenti come il GDPR europeo, che richiede un trattamento trasparente e controllato dei dati personali. Questa funzionalità potrebbe attrarre organizzazioni che operano in settori altamente regolamentati come la sanità o la finanza, dove la protezione dei dati è una priorità assoluta.
La decisione di escludere i dati di training offre anche un vantaggio competitivo, distinguendo OpenAI da altri provider di IA che potrebbero continuare a utilizzare conversazioni utente per migliorare i loro modelli. Questo potrebbe influenzare le scelte aziendali di organizzazioni sensibili alla privacy, spingendole verso soluzioni che garantiscono un maggiore controllo sui dati.
Considerazioni tecniche e possibili sfide
L'implementazione di passkeys e hardware security keys presenta alcune sfide tecniche. Gli utenti potrebbero riscontrare problemi di compatibilità con dispositivi più vecchi o sistemi operativi non aggiornati. Inoltre, la gestione di più dispositivi di autenticazione richiede una certa familiarità con la tecnologia, che potrebbe rappresentare una barriera per utenti meno esperti.
Un altro aspetto critico è la perdita o il danneggiamento delle security keys. OpenAI ha previsto questa eventualità con la possibilità di configurare più dispositivi di backup, ma gli utenti dovrebbero essere consapevoli che il recupero dell'account potrebbe diventare complesso se non hanno pianificato adeguatamente questa evenienza.
Evoluzione del panorama della sicurezza informatica
L'adozione di Advanced Account Security riflette una tendenza più ampia verso l'abbandono delle password a favore di metodi di autenticazione più robusti. Questo approccio è in linea con le raccomandazioni del National Cyber Security Centre (NCSC) del Regno Unito, che ha recentemente [pubblicato](https://www.helpnetsecurity.com/2026/04/24/ncsc-passkey-adoption-cybersecurity/) una guida sull'adozione di passkeys per migliorare la sicurezza informatica.
La partnership con Yubico rappresenta un ulteriore passo verso la standardizzazione delle soluzioni di autenticazione. Le YubiKeys sono ampiamente riconosciute per la loro affidabilità e sicurezza, e la loro integrazione con i servizi di OpenAI potrebbe incoraggiare altri provider a adottare soluzioni simili.
Implicazioni per le organizzazioni
Per le organizzazioni che utilizzano ChatGPT e Codex, l'adozione di Advanced Account Security potrebbe richiedere un aggiornamento delle politiche interne di gestione degli account. La necessità di configurare e mantenere dispositivi di autenticazione fisici potrebbe comportare costi aggiuntivi e la necessità di formazione per i dipendenti.
Tuttavia, i benefici in termini di sicurezza potrebbero superare questi costi. La riduzione del rischio di phishing e accessi non autorizzati può prevenire potenziali violazioni dei dati, che possono avere conseguenze finanziarie e reputazionali significative. Le organizzazioni dovrebbero valutare attentamente i pro e i contro, considerando anche l'impatto sulla produttività e la facilità d'uso per i dipendenti.
Il futuro dell'autenticazione sicura
La mossa di OpenAI potrebbe accelerare l'adozione di standard FIDO2 e WebAuthn in altri settori. Se questa pratica si diffonderà, potremmo assistere a un abbandono progressivo delle password tradizionali a favore di metodi di autenticazione più sicuri e convenienti.
Questa transizione potrebbe anche influenzare lo sviluppo di nuove tecnologie di autenticazione, come soluzioni biometriche avanzate o metodi basati su blockchain. Le aziende tecnologiche potrebbero essere spinte a innovare per offrire alternative ancora più sicure e user-friendly.
Conclusioni
Advanced Account Security rappresenta un passo significativo verso un futuro senza password. Mentre la tecnologia continua a evolversi, è probabile che vedremo sempre più piattaforme adottare metodi di autenticazione simili. Per gli utenti, questo significa un livello di sicurezza più elevato, ma anche la necessità di adattarsi a nuove modalità di accesso.
Le organizzazioni e gli utenti individuali dovrebbero approfittare di questa opportunità per rivedere le proprie pratiche di sicurezza e adottare misure proattive per proteggere i propri account. Con l'adozione obbligatoria prevista per il 2026, il tempo per prepararsi è ora, e l'investimento in soluzioni di autenticazione robuste potrebbe evitare potenziali problemi in futuro.
Risorse aggiuntive
Per ulteriori informazioni sulla sicurezza degli account e l'uso di passkeys, è possibile consultare la guida ufficiale di OpenAI su Advanced Account Security. Inoltre, il Automating Pentest Delivery Guide offre approfondimenti su come migliorare la sicurezza informatica attraverso test di penetrazione automatizzati.
Nota Editoriale e Disclaimer
Le guide e i contenuti pubblicati su GoYou sono frutto di attività di ricerca e analisi indipendente, a scopo informativo, educativo e di approfondimento.
GoYou non costituisce una testata giornalistica né un prodotto editoriale ai sensi della Legge n. 62/2001 e non svolge attività di informazione in tempo reale.
Il progetto GoYou non fornisce consulenza professionale, tecnica, legale o finanziaria e declina ogni responsabilità per l’uso improprio delle informazioni pubblicate.
Nel settore Crypto, ogni investimento comporta rischi: si invita il lettore a informarsi sempre in modo autonomo prima di assumere qualsiasi decisione.