Passkey: Che cosa sono e come funzionano

Ogni giorno si sente parlare di sicurezza informatica, problemi alla privacy e violazione dei sistemi informatici. La nostra identità, nonché sicurezza digitale è sempre più minacciata e in alcuni casi le password tradizionali mostrano i loro limiti.
Per questo è nata una nuova tecnologia che presto sarà il nuovo standard: le passkey. Questo strumento, supportato dai giganti della tecnologia come Google e Microsoft, promette di rendere obsolete le password che abbiamo utilizzato per decenni, offrendo un’alternativa più sicura e user-friendly.
In questo articolo approfondiremo ogni aspetto di questa tecnologia rivoluzionaria: dalla sua natura al funzionamento, dalle differenze con le password tradizionali alle procedure pratiche per attivarle sui vostri dispositivi. Scopriremo insieme perché le passkey potrebbero rappresentare il futuro dell’autenticazione digitale.
Che cosa sono le passkey
Le passkey (note anche come “chiavi di accesso”) rappresentano l’evoluzione più importante nel campo dell’autenticazione digitale degli ultimi decenni. Si tratta di credenziali digitali che sostituiscono completamente le password tradizionali, offrendo un metodo di accesso biometrico sicuro, crittografato e impossibile da rubare attraverso le comuni tecniche di phishing.
Sviluppate dall’alleanza FIDO (Fast Identity Online) in collaborazione con il World Wide Web Consortium (W3C), le passkey utilizzano la crittografia a chiave pubblica per creare un’autenticazione unica per ogni account. Questo sistema genera una coppia di chiavi crittografiche: una pubblica memorizzata sul server del servizio e una privata conservata in modo sicuro sul dispositivo dell’utente.
Spiegazione facile: Se ti trovi in questa pagina ma non hai competenze tecniche, allora cercherò di spiegarti questo sistema in poche parole: immagina di avere una scatola magica che si apre solo con la tua impronta digitale o il tuo viso. Non devi ricordare nessuna parola segreta, basta essere tu! Le passkey funzionano proprio così: il tuo telefono o computer riconosce che sei proprio tu e ti fa entrare nei tuoi giochi e app preferiti.
Come funzionano le passkey
Le passkey si basano su un’architettura tecnologica sofisticata che sfrutta la crittografia asimmetrica come fondamento della propria sicurezza.

Il cuore del sistema si basa nella creazione di due chiavi crittografiche distinte: una privata, che rimane custodita nel dispositivo dell’utente, e una pubblica, che viene invece condivisa con il server del servizio a cui si desidera accedere. Questa coppia di chiavi viene generata utilizzando algoritmi crittografici avanzati, con chiavi RSA da 2048 bit o curve ellittiche da 256 bit, garantendo un livello di sicurezza praticamente inviolabile con le tecnologie attuali.
Quando un utente decide di registrare una passkey su un nuovo servizio, il processo inizia nel chip di sicurezza del dispositivo, spesso chiamato “secure enclave”. Questo componente hardware dedicato genera la coppia di chiavi crittografiche e gestisce tutte le operazioni sensibili legate all’autenticazione. La chiave privata non lascia mai questo ambiente protetto, rendendo impossibile qualsiasi tentativo di estrazione o duplicazione.
La vera magia delle passkey si manifesta nel momento dell’autenticazione. Quando un utente tenta di accedere a un servizio, il server invia una sfida crittografica unica al dispositivo. Il sistema operativo verifica innanzitutto l’autenticità del dominio richiedente, impedendo automaticamente qualsiasi tentativo di phishing. Se il dominio è legittimo, l’utente viene invitato a confermare la propria identità attraverso i sistemi biometrici del dispositivo, come Face ID, Touch ID o Windows Hello. Solo dopo questa verifica biometrica, la secure enclave utilizza la chiave privata per firmare crittograficamente la sfida ricevuta dal server.
La firma crittografica generata è unica per ogni sessione di accesso e include informazioni sul dominio del servizio, rendendo impossibile il riutilizzo della stessa autenticazione su siti malevoli. Il server, utilizzando la chiave pubblica memorizzata durante la registrazione, può verificare l’autenticità della firma e garantire l’accesso all’utente legittimo.
La sincronizzazione delle passkey tra dispositivi avviene attraverso sistemi proprietari come iCloud Keychain per Apple o Google Password Manager per Android. Durante questo processo, le chiavi private vengono trasferite con una crittografia end-to-end aggiuntiva, garantendo che rimangano inaccessibili anche durante il trasferimento. Ogni servizio di sincronizzazione implementa i propri protocolli di sicurezza, ma tutti devono rispettare gli standard FIDO2 e WebAuthn per garantire l’interoperabilità.
Un aspetto particolarmente innovativo delle passkey riguarda la privacy: il sistema è progettato per impedire il tracking degli utenti tra servizi diversi. Ogni passkey è univoca e matematicamente non correlabile ad altre passkey dello stesso utente. Inoltre, i dati biometrici utilizzati per lo sblocco rimangono sempre locali sul dispositivo, senza mai essere trasmessi o memorizzati sui server.
Il protocollo CTAP (Client to Authenticator Protocol) gestisce la comunicazione tra il browser o l’applicazione e l’autenticatore hardware del dispositivo, garantendo un canale sicuro per lo scambio di informazioni durante il processo di autenticazione. Questo protocollo è fondamentale per mantenere l’integrità del sistema e prevenire attacchi man-in-the-middle o tentativi di manipolazione del processo di autenticazione.
La robustezza di questa architettura rende le passkey immuni alle più comuni tecniche di attacco informatico. Non possono essere vittime di attacchi di forza bruta, poiché non esistono password da indovinare. Sono resistenti al credential stuffing, poiché ogni chiave è unica per ogni servizio. E soprattutto, eliminano completamente il rischio di phishing, grazie alla verifica automatica del dominio e all’impossibilità di estrarre o copiare le credenziali.
Che differenza c’è tra passkey e password?
Le differenze tra passkey e password sono sostanziali e rivoluzionarie, tanto da rappresentare un vero e proprio cambio di paradigma nella sicurezza digitale. Analizziamo nel dettaglio questi due sistemi di autenticazione mettendoli a confronto sotto diversi aspetti.
La prima fondamentale differenza risiede nella memorizzazione: mentre le password richiedono agli utenti di ricordare complesse sequenze di caratteri, spesso diverse per ogni servizio, le passkey eliminano completamente questo onere. Non c’è più nulla da memorizzare, poiché l’autenticazione avviene attraverso i sistemi biometrici già presenti sui nostri dispositivi o, in alternativa, tramite il PIN del dispositivo stesso.
Sul fronte della sicurezza, le password tradizionali sono intrinsecamente vulnerabili. Possono essere indovinate, rubate attraverso keylogger, intercettate durante la trasmissione o ottenute tramite attacchi di phishing. Le passkey, al contrario, non possono essere sottratte poiché la chiave privata non lascia mai il dispositivo dell’utente. Inoltre, anche se un malintenzionato riuscisse a registrare la nostra impronta digitale o il nostro volto, non potrebbe utilizzarli per accedere ai nostri account, poiché questi dati biometrici servono solo a sbloccare localmente la passkey.
La gestione quotidiana rappresenta un altro aspetto di netta distinzione. Con le password, gli utenti sono costretti a:
- Cambiarle periodicamente
- Utilizzare combinazioni sempre diverse
- Ricordare quali password sono associate a quali servizi
- Gestire il recupero in caso di dimenticanza
Le passkey eliminano tutte queste complicazioni: una volta configurate, funzionano sempre, si sincronizzano automaticamente tra i dispositivi e non necessitano di essere cambiate periodicamente.
Dal punto di vista della sicurezza aziendale, le password rappresentano uno dei maggiori punti deboli. Il 81% delle violazioni di dati coinvolge credenziali compromesse, e le aziende spendono in media 1.2 milioni di dollari all’anno solo per gestire i problemi legati alle password.
Le passkey riducono drasticamente questi rischi e costi: non possono essere riutilizzate su siti diversi, non possono essere condivise involontariamente e sono immuni agli attacchi di forza bruta.
Un aspetto spesso sottovalutato riguarda l’esperienza utente. Le password creano costante “attrito” nell’utilizzo dei servizi digitali: errori di digitazione, necessità di reset, tempo perso nel tentativo di ricordarle. Le passkey offrono un’esperienza fluida e naturale: un semplice tocco o uno sguardo sono sufficienti per autenticarsi in modo sicuro.
Infine, c’è una differenza fondamentale nella scalabilità: mentre le password diventano sempre più difficili da gestire all’aumentare dei servizi utilizzati, le passkey mantengono la stessa semplicità d’uso indipendentemente dal numero di account.
Come abilitare le passkey sui dispositivi Google
L’attivazione delle passkey su dispositivi Google è un processo semplice che richiede pochi passaggi. Per iniziare, è necessario assicurarsi di utilizzare la versione più recente di Google Chrome e di avere un account Google configurato sul dispositivo.
Ecco la procedura per abilitare le passkey:
- Apri Google Chrome sul tuo dispositivo
- Vai su password.google.com
- Accedi al tuo account Google
- Clicca su “Impostazioni” nella barra laterale
- Cerca la sezione “Passkey”
- Attiva l’interruttore “Passkey”
Su Android, il processo è ancora più diretto:
- Vai in Impostazioni
- Cerca “Google”
- Seleziona “Gestione account Google”
- Scegli “Sicurezza”
- Attiva “Passkey”
Una volta completata l’attivazione, potrai utilizzare le passkey su qualsiasi sito web che supporta questa tecnologia. Il sistema ti chiederà automaticamente se desideri creare una passkey quando accedi a un servizio compatibile.
Come abilitare le passkey sui dispositivi Apple
Apple ha integrato le passkey in modo nativo nel suo ecosistema attraverso iCloud Keychain, rendendo il processo di attivazione e utilizzo estremamente intuitivo.
Per iPhone e iPad:
- Vai in Impostazioni
- Tocca il tuo nome in alto
- Seleziona “iCloud”
- Attiva “Portachiavi iCloud”
Per Mac:
- Menu Apple > Impostazioni di Sistema
- Clicca sul tuo ID Apple
- Seleziona “iCloud”
- Verifica che “Portachiavi iCloud” sia attivo
Una volta attivato il sistema, quando accedi a un sito web o a un’app che supporta le passkey, il dispositivo ti chiederà automaticamente se desideri crearne una. L’autenticazione avverrà poi tramite Face ID, Touch ID o codice del dispositivo.
Nota importante: tutti i tuoi dispositivi Apple devono essere aggiornati all’ultima versione del sistema operativo per garantire il corretto funzionamento delle passkey.