Cos'è una passkey e come funziona?

Kamile Viezelyte
Autrice di contenuti sulla cybersicurezza
What is a passkey

Il numero di violazioni di dati diventa sempre più preoccupante di anno in anno e, di conseguenza, la necessità di metodi di autenticazione sicuri non è mai stata tanto cruciale. Ed è proprio qui che entrano in gioco le passkey, una soluzione moderna per l'autenticazione sicura che offre un modo più comodo per accedere ad applicazioni e siti web senza dover ricordare né digitare le password. Oggi scopriremo cosa sono le passkey, come funzionano e perché sono considerate il futuro dell'autenticazione.

Cosa sono le passkey?

Le passkey sono credenziali digitali che usano dispositivi come telefoni, computer portatili o tablet per autenticare i tentativi di accesso degli utenti. Rappresentano un'alternativa più sicura e comoda alle tradizionali combinazioni di nome utente e password e, di norma, sono considerate resistenti agli attacchi di phishing.

Acclamate dagli esperti di sicurezza informatica come la tecnologia di autenticazione destinata a prendere il posto delle password, le passkey sono state sviluppate per buona parte dell'ultimo decennio dai membri della FIDO Alliance, un'associazione statunitense che si occupa della creazione di modelli di autenticazione senza password. Tra le società che lavorano alle passkey troviamo colossi tecnologici del calibro di Apple, Microsoft e Google.

Come funzionano le passkey e in cosa differiscono dalle password?

Le passkey utilizzano la biometria per consentire di accedere agli account con la stessa facilità con cui si sblocca il telefono. L'utente ha la percezione di saltare del tutto la fase di inserimento delle password, passando direttamente all'autenticazione a più fattori. Per capire in che modo le passkey migliorano le procedure di accesso, prima di tutto dobbiamo comprendere le vulnerabilità di sicurezza legate alle tradizionali password.

In cosa consiste la tecnologia delle password

Questo tipo di autenticazione è relativamente semplice: dopo aver creato una password per un nuovo account, questa viene poi memorizzata in un formato crittografato su un server. Quando l'utente inserisce la password per accedere all'account, il sistema la confronta con quella nel proprio database; se corrispondono, viene autorizzato l'accesso. Semplice, no?

C'è però un problema: questo tipo di autenticazione presenta infatti alcune gravi criticità legate alla sicurezza. Molte persone, infatti, hanno la cattiva abitudine non solo di scegliere password banali e facili da violare, ma anche di riutilizzarle per diversi account. La violazione di una singola password mette a rischio anche tutti gli altri account per cui viene utilizzata: in questo modo, gli hacker possono mettere le mani su enormi quantità di dati. L'indagine Data Breach Report del 2025 di Verizon ha rilevato che circa il 60% delle violazioni andate a buon fine è attribuibile a una componente umana, legata principalmente al phishing e all'abuso di credenziali.

In cosa consiste la tecnologia delle passkey

Quando ti registri a un servizio online che offre l'autenticazione tramite passkey, vengono generate due chiavi: una pubblica e una privata, che vengono usate in combinazione quando tenti di accedere all'account. La chiave pubblica viene memorizzata sul server del sito web, mentre quella privata è conservata sul tuo dispositivo; l'una senza l'altra, le due chiavi sono del tutto inutili.

Quando tenti di accedere, il server invia una richiesta al tuo dispositivo, che a sua volta risponde fornendo la relativa passkey. La tua identità viene verificata anche a livello di dispositivo, tramite l'autenticazione biometrica. Se la coppia di chiavi corrisponde, puoi accedere all'account.

Perché le passkey sono migliori delle password?

Le passkey sono ampiamente considerate una forma di autenticazione più sicura e pratica rispetto alle password. A differenza delle password, che devono essere reimpostate se dimenticate, le passkey sono esenti da questo problema. Impostare una passkey evita il rischio di dimenticare o riutilizzare le password e protegge anche dagli attacchi di phishing, dal momento che un malintenzionato non può rubarla: una volta create, infatti, le passkey vengono memorizzate al sicuro sul dispositivo dell'utente. Anche se un criminale informatico riuscisse a mettere le mani su una delle chiavi, non potrà accedere all'account senza quella corrispondente.

Un'altra differenza è che le password sono stringhe di caratteri in chiaro inventate dall'utente o create tramite un apposito software, mentre le passkey utilizzano chiavi crittografiche generate dal sistema. Queste chiavi sono più difficili da violare rispetto alle tradizionali password; inoltre ogni chiave pubblica e privata è univoca, mentre anche la più complessa delle password potrebbe essere usata da un'altra persona che ha scelto la stessa combinazione.

Le passkey hanno inoltre dalla loro parte la competenza e la fiducia del settore. Grazie al coinvolgimento della FIDO Alliance, la tecnologia passkey viene continuamente perfezionata da professionisti della sicurezza informatica che vantano decenni di esperienza. Con la crescente adozione delle passkey, in futuro questa tecnologia diventerà l'alternativa di sicurezza predefinita alle password a cui siamo oggi abituati.

Le passkey prenderanno il posto delle password?

La tecnologia passkey, un'ottima alternativa per l'autenticazione senza password, ha tutte le carte in regola per diventare la nuova normalità. Grazie alla sua comodità e sicurezza, l'era delle password potrebbe ormai volgere al termine; tuttavia, prima che ciò accada, i principali servizi online, piattaforme e applicazioni dovranno introdurre le passkey come metodo di autenticazione predefinito.

Dove si possono usare le passkey?

L'adozione delle passkey è ancora agli esordi. A causa della diffusione limitata, è possibile che questo metodo di autenticazione non sia ancora disponibile nelle opzioni di sicurezza di alcune delle tue app preferite; tuttavia, sempre nuove piattaforme continuano ad aggiungersi all'elenco dei provider di autenticazione compatibili con le passkey.

Al momento della stesura di questo articolo, le passkey sono già supportate da oltre un centinaio di fornitori di servizi digitali, tra cui Amazon, PayPal, Nintendo, Shopify e GitHub. Sia per i dispositivi iOS che Android è stato introdotto, nel 2023, il supporto per le passkey di terze parti con gli aggiornamenti dei rispettivi sistemi operativi; gli utenti possono quindi conservare e gestire le passkey su telefoni e tablet utilizzando il proprio fornitore di servizi preferito.

Attuali limitazioni

Al giorno d'oggi, l'utilizzo delle passkey deve fare i conti con due principali limitazioni: il supporto da parte delle piattaforme e la compatibilità dei dispositivi. Per ora le passkey sono disponibili su un numero molto limitato di applicazioni e siti internet, perciò gli utenti non sempre riescono a sceglierle come metodo di autenticazione principale. Per gli sviluppatori può inoltre essere difficile implementare le passkey nei servizi esistenti, il che rallenta l'adozione e l'usabilità su ampia scala.

Oltretutto, anche quando è possibile usare le passkey, le modalità di gestione potrebbero essere limitate: ad esempio, i dispositivi Apple e Android per diverso tempo hanno supportato solo le passkey native, bloccando l'accesso alle app di gestione delle passkey di terze parti. Ciò può limitare le opzioni a disposizione degli utenti e dissuaderli dall'adottare le passkey, soprattutto se prevedono di cambiare dispositivo nel prossimo futuro.

Le limitazioni riguardanti i dispositivi purtroppo non finiscono qui. Le passkey sono disponibili solo sui dispositivi Android a partire dalla versione 9.0 e sui dispositivi Apple da iOS 16 in poi; se il tuo modello è meno recente, non potrai usarlo per l'autenticazione senza password.

Oltre alle limitazioni tecniche, c'è anche il problema che le passkey non sono conosciute dal grande pubblico. Molti utenti non hanno mai nemmeno sentito parlare di autenticazione senza password, figuriamoci perciò quanti sanno come funziona. Spiegare una sequenza di caratteri casuali a uno sconosciuto per strada è più facile che entrare nel merito del funzionamento di due chiavi crittografiche; pur offrendo una protezione dei dati di gran lunga superiore, la tecnologia passkey potrebbe sembrare troppo ostica e complessa a un utente che desidera solo accedere al suo account Facebook o fare acquisti online senza pensare troppo alla sicurezza.

Memorizza le passkey con NordPass

Per NordPass, il futuro senza password è già iniziato. Siamo pronti e determinati a rendere il più semplice e agevole possibile la transizione dalle password alle passkey. Puoi conservare e gestire le passkey su NordPass e usarle per accedere ai tuoi siti internet e applicazioni preferiti. NordPass è disponibile per tutti i principali browser, tra cui Chrome, Firefox e Safari, oltre che per iOS e Android – sincronizza le passkey su tutti i dispositivi e ti permette di condividerle in modo sicuro in caso di bisogno.

Grazie a NordPass, puoi sostituire facilmente le tue password con le passkey:

  1. Vai alla scheda "Passkey" nella barra laterale di NordPass e scegli la password che vuoi sostituire con una passkey.

  2. Seleziona "Crea una passkey". Si aprirà il relativo sito web.

  3. Segui i passaggi di verifica richiesti per cambiare il metodo di accesso preferito da una password a una passkey; la procedura può variare da un sito all'altro.

  4. Vedrai una finestra a comparsa di NordPass che ti inviterà a creare la passkey. Seleziona "Crea".

  5. Potrebbe esserti chiesto di inserire la Password principale di NordPass o di usare la biometria per confermare la modifica.

  6. Ora la passkey è disponibile nella tua cassaforte NordPass.

La prossima volta che accederai al tuo account con una passkey, dovrai autenticarti inserendo la Password principale o usando la biometria su NordPass. Se hai altre domande su come funzionano le passkey su NordPass, consulta il nostro apposito articolo del Centro assistenza.

FAQ

Iscriviti alla newsletter di NordPass

Ricevi le ultime notizie e i suggerimenti di NordPass direttamente nella tua casella di posta.