News · OpenAI lega la sicurezza degli account ChatGPT e Codex a chiavi hardware, senza recupero tramite assistenza

Jul, 94 min di lettura
Piattaforma

OpenAI lega la sicurezza degli account ChatGPT e Codex a chiavi hardware, senza recupero tramite assistenza

Advanced Account Security è un'impostazione opzionale che sacrifica la comodità per un accesso resistente al phishing — e rende gli utenti, non l'assistenza OpenAI, responsabili di riottenere l'accesso.

Cosa cambia davvero con l'impostazione opzionale

Advanced Account Security è un singolo interruttore nella sezione Sicurezza di un account ChatGPT che racchiude quattro modifiche distinte. Si applica sia a ChatGPT che a Codex quando accessibili con lo stesso login.

Primo, l'accesso passa a passkey o chiavi di sicurezza fisiche e il login tramite password viene disattivato del tutto. Secondo, il recupero dell'account perde i suoi due percorsi più sfruttati dagli attacchi: il recupero via email e SMS viene disattivato, sostituito da passkey di backup, chiavi di sicurezza e chiavi di recupero. Terzo, le sessioni vengono abbreviate, vengono inviati avvisi di accesso e gli utenti ottengono una visione delle sessioni attive su tutti i dispositivi. Quarto, le conversazioni degli account registrati vengono automaticamente escluse dal training dei modelli.

Ognuna di queste è una misura di sicurezza nota nel mondo enterprise. La novità è che OpenAI le ha raggruppate in un livello con un nome dedicato per i singoli utenti, e ha fatto dell'esclusione dal training una proprietà dell'impostazione di sicurezza, invece di una preferenza sulla privacy separata.

Il vero compromesso di design riguarda il recupero

La riga più significativa dell'annuncio riguarda cosa succede quando le cose vanno male. Eliminando il recupero via email e SMS, OpenAI elimina anche la propria capacità di intervenire.

Poiché il recupero dell'account è limitato a questi metodi più sicuri, l'assistenza OpenAI non potrà aiutare con il recupero dell'account gli utenti registrati in Advanced Account Security.Montana Labs

Questo rende esplicito il modello di minaccia: lo stesso canale di assistenza umana che potrebbe salvare un utente bloccato fuori dal proprio account è anche il canale che un attaccante usa per prendere il controllo dell'account. OpenAI lo presenta come una protezione maggiore che porta con sé una responsabilità maggiore, ed elenca il pubblico a cui si rivolge — giornalisti, funzionari eletti, dissidenti politici, ricercatori — come persone per cui questo compromesso vale la pena. Per tutti gli altri, perdere tutte le chiavi di backup significa perdere l'account.

Il bundle Yubico abbassa la barriera hardware

L'autenticazione resistente al phishing funziona solo se le persone possiedono davvero l'hardware necessario. La risposta di OpenAI è una partnership con Yubico che offre un prezzo preferenziale su un bundle specifico di due chiavi: una YubiKey C Nano pensata per rimanere inserita nel laptop per l'uso quotidiano, e una YubiKey C NFC come backup e per il mobile.

Il bundle non è vincolato al livello di sicurezza — OpenAI dichiara che sarà disponibile per tutti gli utenti idonei nelle loro impostazioni, e qualsiasi chiave conforme a FIDO o passkey software funziona allo stesso modo. Questo disaccoppiamento conta: tratta il possesso della chiave come un problema di distribuzione da risolvere in modo ampio, non come un privilegio riservato agli utenti a più alto rischio.

Trusted Access for Cyber trasforma l'opzione in un obbligo

Per la maggior parte degli utenti si tratta di un'opzione. Per un gruppo, no. I membri individuali del programma Trusted Access for Cyber — quelli che accedono ai modelli più capaci e permissivi di OpenAI in ambito cyber — dovranno attivare Advanced Account Security a partire dal 1° giugno 2026. Le organizzazioni possono invece attestare che il proprio sistema di single sign-on impone già un'autenticazione resistente al phishing.

Questo collegamento è la mossa politica più interessante. L'accesso a modelli più permissivi viene condizionato al rafforzamento dell'account. Se il tuo account può attivare capacità cyber a duplice uso, OpenAI vuole la prova che l'account non possa essere preso facilmente sotto controllo. Gli ambienti enterprise vengono indicati come il prossimo pubblico a cui applicare la stessa logica.

Cosa significa per i team che costruiscono sopra gli account OpenAI

Un account OpenAI non è più solo un login; l'annuncio lo descrive come al centro di strumenti e flussi di lavoro connessi, con l'accesso a Codex che passa attraverso di esso. Proteggere l'account oggi significa proteggere una credenziale che può raggiungere codice e sistemi connessi.

Per i team che dipendono operativamente da ChatGPT o Codex, il messaggio pratico è pianificare in anticipo il modello di recupero prima di abilitare chiunque. Un recupero senza password e senza assistenza è la scelta giusta per gli account di alto valore, ma richiede una gestione disciplinata delle chiavi — chiavi di scorta conservate, chiavi di recupero al sicuro, offboarding gestito correttamente — perché il paracadute che normalmente salva un account è stato intenzionalmente rimosso.

Find this story relevant to you?

Contact us to find a unique solution

Contact us

Cerchi un partner di ingegneria AI capace di costruire davvero?

Aiutiamo le aziende a integrare l AI nei prodotti, automatizzare i flussi di lavoro ad alto valore e modernizzare i sistemi software che sostengono la crescita.

Get in touch

Letture correlate

Altre analisi su delivery di prodotto, IA operativa e il lavoro sui sistemi che fa reggere il deployment alla prova dei fatti.

Jul, 134 minuti di lettura
Piattaforma

Doppel automatizza la rimozione dei contenuti di phishing con una pipeline in cinque fasi basata su GPT-5 e RFT

Jul, 134 min di lettura
Piattaforma

L'espansione di Meta a 5GW in Louisiana viene annunciata con i bonus agli insegnanti, non con i teraflops

Jul, 94 min di lettura
Piattaforma

Il GPT-5 di OpenAI arriva come router su più modelli, non come modello unico