Passkey: capire e adottare l'alternativa alla password

Le passkey sostituiscono la password con una chiave crittografica legata al tuo dispositivo. Niente più da ricordare, digitare o reimpostare. Ecco come funzionano, cosa cambia concretamente e cosa sapere prima di adottarle.

Cos'è una passkey e come funziona?

Una passkey è una coppia di chiavi crittografiche: una privata, conservata sul tuo dispositivo, e una pubblica, registrata dal servizio online. Per accedere, il tuo dispositivo dimostra di possedere la chiave privata senza mai trasmetterla.

In pratica, a ogni accesso il server invia una sfida unica (un challenge casuale). Il tuo dispositivo la firma con la chiave privata e il server verifica la firma con la chiave pubblica. Anche se qualcuno intercettasse questa risposta firmata, sarebbe inutilizzabile: vale solo per quel preciso challenge, già consumato. È fondamentalmente diverso da una password, sempre identica e sempre riutilizzabile.

L'autenticazione si avvia con un gesto semplice: Touch ID, Face ID, impronta digitale o PIN del dispositivo.

Le passkey sono davvero più sicure di una password?

Sì, e di gran lunga. Le passkey si basano sulla crittografia a curva ellittica (P-256 / ECDSA), che offre circa 128 bit di sicurezza effettiva. Per raggiungere un livello equivalente con una password, occorrerebbero circa 20 caratteri completamente casuali tra i 95 caratteri ASCII stampabili — qualcosa che nessun essere umano genera o ricorda spontaneamente.

Oltre alla robustezza intrinseca, le passkey eliminano un'intera categoria di rischi:

  • Nessuna password debole o riutilizzata da un sito all'altro
  • Nessun database di password da rubare (il server conserva solo la chiave pubblica, inutile senza la chiave privata)
  • Nessun credential stuffing (provare milioni di combinazioni utente/password provenienti da fughe di dati)
  • Nessun obbligo di rinnovo ogni 90 giorni
  • Nessun modulo con regole assurde (maiuscola obbligatoria, carattere speciale, massimo 16 caratteri…)

Perché le passkey resistono al phishing?

Una passkey è legata crittograficamente al dominio esatto per cui è stata creata. Su un sito falso — anche visivamente identico all'originale — la passkey semplicemente non si attiva. Non c'è nulla da intercettare e nulla da riutilizzare.

È una differenza strutturale rispetto alla password. Un sito falso può mostrare un modulo di accesso identico a quello reale e carpire le credenziali. Con una passkey, anche se l'utente non si accorge dell'inganno, l'autenticazione fallisce silenziosamente sul piano tecnico. Nessuna informazione sfruttabile viene trasmessa al sito pirata.

Questa protezione funziona anche contro gli attacchi AiTM (Adversary-in-the-Middle) in tempo reale, che nemmeno il classico 2FA riesce a bloccare.

La mia impronta digitale può essere rubata come una password?

No. L'impronta digitale (o il Face ID) non lascia mai il tuo dispositivo. Non transita sulla rete e non viene conservata sul server del sito. Serve esclusivamente a sbloccare localmente la chiave crittografica, che è poi quest'ultima a eseguire l'autenticazione.

Il sito non vede mai la tua impronta, non la riceve mai e quindi non può subirne il furto. È fondamentalmente diverso da una password, che viene inviata al server a ogni accesso e può essere compromessa se il database viene violato.

E se Touch ID o Face ID non sono disponibili (dito ferito, sensore difettoso), entra in gioco il PIN del dispositivo. La biometria è una comodità, non una dipendenza.

Cosa succede se perdo il telefono o il computer?

La risposta dipende da dove sono archiviate le tue passkey. Se sono sincronizzate tramite iCloud Keychain (Apple) o Google Password Manager, sono automaticamente disponibili sugli altri tuoi dispositivi dello stesso ecosistema. Cambiare iPhone o PC con lo stesso account Google avviene in modo trasparente.

Se invece la passkey è stata creata solo localmente, su un singolo dispositivo, perderlo significa perdere l'accesso. Per questo la maggior parte dei servizi mantiene la password come metodo di accesso alternativo durante il periodo di transizione. Un gestore di password che sincronizza le passkey tra dispositivi e browser riduce considerevolmente questo rischio.

Dove vengono archiviate le mie passkey e chi vi ha accesso?

Le passkey vengono archiviate dal provider che scegli (o che viene proposto per impostazione predefinita) al momento della creazione. I principali sono iCloud Keychain (Apple), Google Password Manager (Chrome) e i gestori di password di terze parti.

Ogni provider ha il proprio perimetro di sincronizzazione:

  • iCloud Keychain sincronizza tra tutti i dispositivi Apple, ma non oltre
  • Google Password Manager sincronizza su tutti i browser Chrome, indipendentemente dal sistema operativo, ma non in Safari
  • Un gestore di password di terze parti può funzionare su tutti i dispositivi e browser

Il rischio comune: al momento di creare una passkey, più provider possono proporsi contemporaneamente — l'estensione del gestore di password, il browser e il sistema operativo. Touch ID, ad esempio, dà l'impressione che "il Mac se ne occupi", mentre in realtà dietro quel gesto è Chrome oppure macOS a conservare la passkey. Se non si presta attenzione alla scelta iniziale, si rischia di non ritrovare la passkey su un altro dispositivo.

Come gestire le passkey al quotidiano?

Il punto più delicato oggi è la gestione. Non esiste un unico posto dove visualizzare tutte le proprie passkey: sono distribuite tra interfacce diverse in base al provider scelto al momento della creazione.

Per trovare o eliminare una passkey in base a dove è archiviata:

  • In Chrome: accedere alle impostazioni delle password del browser
  • Su macOS: Impostazioni di Sistema, sezione Password
  • In un gestore di terze parti: nel vault, nella sezione dedicata alle passkey

È possibile creare involontariamente più passkey per lo stesso account su provider diversi. Per evitare confusione, la soluzione più semplice è scegliere un unico provider e mantenerlo. Dal lato del servizio, i siti affidabili mostrano l'elenco delle passkey registrate per il tuo account con un'opzione di revoca.

Le passkey rimpiazzeranno le password?

Non nell'immediato, ma la tendenza è chiara. Non tutti i siti supportano ancora le passkey e gli utenti devono convivere con entrambi i sistemi durante la transizione. La password rimane un'ancora di sicurezza necessaria per i servizi che non offrono ancora le passkey, o come metodo di riserva.

L'adozione avanza rapidamente: i grandi player (Google, Apple, Microsoft) integrano le passkey nativamente nei propri sistemi. Nel lungo periodo, la password dovrebbe diventare l'eccezione piuttosto che la regola. Nel frattempo, un gestore di password in grado di gestire sia le password tradizionali sia le passkey offre la migliore esperienza durante la transizione.

Punti chiave da ricordare

  • Una passkey è una chiave crittografica legata al tuo dispositivo, più robusta e più semplice di una password
  • Le passkey resistono strutturalmente al phishing: funzionano solo sul dominio esatto per cui sono state create
  • La tua impronta digitale non lascia mai il tuo dispositivo e non può essere rubata tramite un sito web
  • Scegli un unico provider per archiviare le tue passkey ed evitare confusione tra dispositivi
  • La password rimane necessaria in parallelo durante il periodo di transizione
  • Un gestore di password che supporta le passkey semplifica la gestione multi-dispositivo

Prova le passkeys con Octopussian - accesso senza password, sicurezza massima →

Registrazione gratuita

Nessuna carta di credito. Registrazione in 1 minuto

Aumentate la vostra efficienza da oggi. Registratevi per provare gratuitamente.

Utilizziamo la vostra email e il vostro nome
per creare il vostro spazio Octopussian.

oppure
@ Continua con la mia email

Rispettiamo la vostra privacy. Le vostre informazioni non saranno utilizzate per altri scopi.
Registrandovi, accettate i nostri termini di utilizzo e la nostra politica sulla privacy