Probabilmente sei qui perché sei stanco delle password.
È molto probabile che tu abbia sentito parlare dell’autenticazione FIDO e di come stia rivoluzionando la sicurezza online. E ora vuoi capire se FIDO2 è lo strumento giusto per proteggere te o la tua azienda.
Bene… in Hideez aiutiamo le organizzazioni a passare a tecnologie senza password da molti anni, quindi conosciamo il funzionamento di questi sistemi a fondo.
In questa guida abbiamo raccolto il meglio della nostra esperienza per spiegarti come funziona FIDO2 e perché potrebbe (oppure no) essere la scelta giusta per aumentare la tua sicurezza personale o aziendale.
Prima di tutto, ecco alcune cose fondamentali da sapere:
Se stai considerando il login senza password per account personali, molti siti web popolari supportano già FIDO2. Nella maggior parte dei casi, tutto ciò che ti serve è il tuo smartphone.
Con FIDO, il “segreto” che dimostra la tua identità è bloccato all’interno del tuo dispositivo e fisicamente non può uscirne. Questo significa: nessun segreto da carpire, nessuna password da indovinare, niente che un hacker possa intercettare.
Non tutte le app o i servizi sono ancora compatibili con la tecnologia FIDO, soprattutto nel mondo B2B dove il software è più complesso. Tuttavia, è assolutamente possibile far convivere i sistemi basati su password tradizionali con i nuovi metodi passwordless.
Che cos’è FIDO2? Il nuovo standard senza password
FIDO sta per Fast Identity Online, ed è fondamentalmente un consorzio di aziende tecnologiche — tra i fondatori ci sono stati PayPal e Lenovo — che si sono unite con un obiettivo ambizioso: eliminare le password. Hanno capito che doveva esistere un modo più sicuro e semplice per dimostrare chi siamo online.
FIDO2 è l’ultimo e più evoluto standard della FIDO Alliance. È ciò che rende possibili le moderne passkey, unendo il meglio dei precedenti standard:
U2F: Si concentra sull’uso di chiavi di sicurezza fisiche come secondo fattore.
UAF: Basato sull’uso di dati biometrici (come l’impronta digitale) tramite il tuo telefono.
Il mix tra U2F, UAF e FIDO2 può sembrare inizialmente confuso, quindi ecco una tabella che riassume le principali differenze:
Alla base, FIDO2 nasce per eliminare ciò che tutti odiamo: password difficili da ricordare e metodi di autenticazione a più fattori che sono semplicemente frustranti. Nessuno ama inseguire un codice SMS o dover approvare l’ennesima notifica push.
Invece di fare affidamento su qualcosa che sai (una password o un codice usa e getta), l’autenticazione FIDO si basa su una combinazione di qualcosa che possiedi (il tuo telefono o una chiave di sicurezza) e qualcosa che sei (la tua impronta digitale o il volto). Questi fattori vengono anche chiamati Passkey.
Anche se può sembrare una tecnologia futuristica, potresti aver già usato le passkey per accedere ai tuoi account Google o Microsoft — spesso senza rendertene conto. Oggi, l’autenticazione FIDO è supportata da tutti i principali sistemi operativi, inclusi Windows, Android, iOS e macOS.
Come funziona il protocollo FIDO2?
Ma quindi, come riesce FIDO a eliminare le password? Tutto si basa su un sistema intelligente chiamato crittografia a chiave pubblica.
Invece di una password unica che può essere rubata, il tuo dispositivo crea una coppia di chiavi digitali abbinate. Una è pubblica (conosciuta dal servizio web), l’altra è privata (il tuo segreto personale, che non lascia mai il dispositivo). Dimostrando di possedere la chiave privata, dimostri la tua identità — senza mai trasmettere password o segreti via internet.
Ti mostriamo il processo con l’esempio della nostra piattaforma:
Quando accedi a un sito che supporta il login senza password, troverai un’opzione per usare un autenticatore FIDO invece di inserire login e password. Il pulsante potrebbe chiamarsi "Opzioni di accesso" o simili.
Dopo averlo selezionato, si apre una finestra del sistema che ti chiede di scegliere il dispositivo di autenticazione. Può essere il computer che stai usando, il tuo telefono o una chiave hardware da collegare.
La prima volta, dovrai completare una breve registrazione. Il tuo dispositivo genera la coppia di chiavi crittografiche: la chiave privata resta protetta sul dispositivo, mentre quella pubblica viene inviata al sito per associarla al tuo account. In genere ti verrà chiesto di scansionare l’impronta digitale, usare il riconoscimento facciale o inserire il PIN per confermare che sei davvero tu.
Per ogni accesso successivo, il servizio invia una sfida crittografica univoca al tuo dispositivo. Il dispositivo firma questa sfida usando la sua chiave privata. Questo dimostra che possiedi il dispositivo, ma la chiave segreta non viene mai svelata.
Infine, il server verifica la firma utilizzando la chiave pubblica salvata. Se tutto corrisponde, sei dentro!
Quali sono i principali vantaggi di FIDO2?
Il punto di forza di FIDO è che è progettato per proteggerti da ogni tipo di minaccia:
Sicurezza elevata. Blocca gli attacchi basati sulle credenziali come il phishing. A differenza di una password, che può essere sottratta, la chiave privata di FIDO è un segreto custodito all’interno del dispositivo e non può essere condiviso né rubato. Questo rende le tue credenziali più sicure anche in caso di violazione dei dati: se un hacker entra in un server, troverà solo la tua chiave pubblica, inutile senza il tuo dispositivo.
Esperienza utente migliore. L’autenticazione FIDO elimina la necessità di inserire password o OTP, aumentando la velocità di accesso. Essendo intrinsecamente resistente al phishing, elimina anche molte delle misure di sicurezza aggiuntive che siamo abituati a tollerare.
Conformità normativa. L’autenticazione FIDO è considerata una delle tecnologie più avanzate, in linea con normative come GDPR, HIPAA, PSD2 e NIS2, grazie all’autenticazione forte senza segreti condivisi. Supporta l’MFA resistente al phishing raccomandata da NIST SP 800-63 e dalle linee guida CISA. Grandi aziende e istituzioni — comprese le agenzie federali statunitensi secondo l’Ordine Esecutivo 14028 — stanno già adottando soluzioni FIDO come parte delle strategie Zero Trust.
Dove puoi davvero usare FIDO e le Passkey?
La parte migliore di tutto questo movimento verso un mondo senza password è che puoi attivare il login passwordless su tantissime app e siti web che già utilizzi ogni giorno.
Vediamo insieme dove puoi usarli concretamente.
Per i tuoi account personali
Iniziamo dagli account personali. I tre grandi — Apple, Google e Microsoft — hanno adottato pienamente le passkey. Ciò significa che puoi accedere al tuo account iCloud, Google o Microsoft senza dover inserire alcuna password. Oltre a questi, un’ampia gamma di altri servizi, dalle piattaforme social alla tua banca, hanno introdotto il supporto per passkey o chiavi di sicurezza fisiche per accedere.
Una volta verificato che il servizio supporta FIDO, la configurazione richiede meno di un minuto. Ti basta accedere alle impostazioni di sicurezza del tuo account e cercare l'opzione per aggiungere una nuova passkey.
Il nostro consiglio più importante: non limitarti a configurare un solo dispositivo. Ti consigliamo vivamente di aggiungere più passkey fin da subito — ad esempio una per lo smartphone e un’altra per il laptop.
La maggior parte delle passkey si sincronizza automaticamente attraverso l’ecosistema, come il tuo account Google o iCloud. Questo è fondamentale perché significa che, se perdi il telefono, non resterai bloccato fuori dai tuoi account. Ti basterà usare il laptop, accedere con l’impronta digitale o il PIN e continuare a lavorare senza problemi.
Al lavoro (anche con app che sembrano non supportarle)
Qui diventa davvero interessante. Potresti avere app aziendali che non supportano direttamente l’autenticazione FIDO, ma in molti casi puoi comunque renderle passwordless usando il Single Sign-On (SSO) tramite un Identity Provider (IdP) certificato FIDO — come Hideez.
Pensalo come un ufficio digitale per la sicurezza. Quando provi ad aprire un'app, vieni reindirizzato a quell'“ufficio”. Lì dimostri chi sei con un rapido login FIDO e, se tutto è corretto, l'ufficio ti rilascia un “pass” verificato che tutte le altre app aziendali accettano come valido.
In Hideez, offriamo diverse modalità per accedere in modo sicuro.
Il nostro metodo principale è il nuovo standard della sicurezza passwordless: le passkey. Puoi utilizzare le funzionalità integrate nei tuoi dispositivi, come Face ID o l’impronta digitale sul telefono e sul laptop. Inoltre, supportiamo pienamente anche le chiavi hardware fisiche certificate FIDO, ideali per chi preferisce un dispositivo di sicurezza separato.
Un’altra opzione flessibile che offriamo è l’autenticatore mobile che funziona tramite codici QR dinamici. Per accedere dal computer, basta aprire la nostra app sul telefono e scansionare il codice QR visualizzato a schermo. È un metodo rapido e sicuro per confermare la tua identità usando il dispositivo fidato che hai già in mano.
Quali sono gli svantaggi principali dell’implementazione di FIDO2?
Ok, abbiamo parlato dei vantaggi di FIDO2, ma è giusto essere realistici anche sugli aspetti meno positivi. Ecco le vere sfide da considerare prima di adottare pienamente l’approccio passwordless.
1. Il problema delle tecnologie legacy
Il problema principale è che non tutte le app sono pronte per FIDO. Ti capiterà inevitabilmente di imbatterti in vecchi sistemi legacy — software installati localmente, vecchi client VPN o gateway RDP — che non supportano né FIDO né i moderni SSO. Per questi sistemi, sei ancora vincolato alle password e devi gestire entrambe le modalità di accesso.
Le nostre chiavi hardware sono pensate proprio per risolvere questo problema. Offrono una doppia funzione: per i servizi moderni funzionano come chiavi FIDO2 che risolvono sfide crittografiche, mentre per le app legacy fungono anche da gestore di password crittografato. Possono memorizzare in modo sicuro oltre 1000 credenziali per dispositivo e compilarle automaticamente con un clic (e, se vuoi, un PIN), offrendo un’unica soluzione sicura per tutto.
2. La password non sparisce del tutto
Ecco un’ironia fastidiosa delle passkey oggi: nella maggior parte dei servizi, la vecchia password non scompare davvero. Rimane spesso come “opzione di riserva” nel caso tu perda il dispositivo associato alla passkey.
Anche se può sembrare utile, ciò significa che l’anello debole — la password — è ancora presente, lasciando aperta la porta proprio agli attacchi che le passkey dovrebbero impedire. Sebbene la tendenza stia andando verso la possibilità di eliminare completamente le password, attualmente questa vulnerabilità di fallback è ancora presente nella maggior parte degli account.
3. Non tutte le passkey sono uguali (sincronizzate vs. legate al dispositivo)
Questo punto è cruciale per le aziende. Esistono due tipi principali di passkey, e ciascuno comporta un compromesso tra praticità e controllo:
Passkey legate al dispositivo: Queste sono vincolate a un singolo hardware specifico, come una chiave di sicurezza fisica o un’app autenticatrice mobile che memorizza la chiave localmente. Questo approccio offre molto più controllo, poiché l’azienda può essere certa che la credenziale non possa essere utilizzata da laptop o tablet personali non autorizzati. In ambienti ad alta sicurezza, l’utilizzo di autenticatori che generano passkey legate al dispositivo è spesso la scelta migliore.
Passkey sincronizzate: Queste sono le passkey associate al tuo account Google o Apple. Sono estremamente comode per l’utente, perché si sincronizzano automaticamente su tutti i dispositivi tramite iCloud o Google Password Manager. Tuttavia, per un’azienda che richiede elevati livelli di sicurezza, questo può rappresentare un limite, perché si perde il controllo su quale dispositivo specifico viene utilizzato.
Come attivare l’autenticazione FIDO2 con Hideez?
Ti senti un po’ sopraffatto all’idea di iniziare con l’autenticazione senza password? È normale, e proprio per questo vogliamo renderti tutto il più semplice possibile.
In qualità di membri certificati della FIDO Alliance, abbiamo sviluppato la nostra piattaforma Hideez Cloud Identity con un piano gratuito che ti consente di configurare il Single Sign-On (SSO) passwordless per un massimo di 20 utenti.
Offriamo ai tuoi dipendenti diverse modalità semplici per accedere: possono usare le passkey sincronizzate che già possiedono nei loro dispositivi personali (Google o Apple) oppure utilizzare la nostra app Hideez Authenticator, che sfrutta codici QR sicuri per associare il login a un telefono specifico, aggiungendo così un ulteriore livello di controllo.
Per le aziende con esigenze più complesse — come la gestione di app legacy, la sicurezza delle sessioni RDP o anche il controllo degli accessi fisici — offriamo il nostro servizio Enterprise Identity. È progettato per connettere tutto, colmando il divario tra le moderne app cloud e le aree più complesse della tua infrastruttura IT.
Il modo migliore per trovare la soluzione più adatta è parlarne direttamente. Prenota una demo con noi e avrai una consulenza personalizzata per individuare la formula passwordless perfetta per la tua organizzazione.
FAQ
1. Che cos’è un autenticatore FIDO?
Un autenticatore FIDO2 è un dispositivo o un software compatibile con lo standard FIDO2 per il login senza password. Progettato per soddisfare questo standard, genera e conserva chiavi crittografiche che consentono l’accesso agli account senza dover usare password. Gli autenticatori FIDO esistono in varie forme, che rientrano generalmente in queste tre categorie:
Autenticazione biometrica: Permette all’utente di accedere scansionando l’impronta digitale o il volto. È una modalità veloce, sicura e comoda, ampiamente supportata su smartphone e laptop moderni.
Blocco schermo: In assenza di sensori biometrici, l’utente può autenticarsi tramite un PIN o codice specifico del dispositivo. Questa opzione è ideale per computer desktop o dispositivi più datati privi di biometria, garantendo comunque un processo sicuro e accessibile.
Chiavi di sicurezza fisiche: Note anche come token hardware o chiavi FIDO2, sono dispositivi esterni che consentono l’accesso senza password tramite connessioni USB, NFC o Bluetooth. Esempi noti includono le YubiKey e le Hideez Key. L’utente accede inserendo o toccando la chiave, spesso in combinazione con un PIN per una protezione aggiuntiva. Alcune chiavi includono sensori biometrici, unendo la sicurezza dell’hardware con la comodità della biometria.
2. Tipi ed esempi di autenticatori FIDO
Autenticatori di piattaforma: Sono integrati nel dispositivo e non possono essere rimossi, il che li rende estremamente comodi. L’intero processo di autenticazione avviene sullo stesso dispositivo da cui parte il login.
Esempio: Scansione dell’impronta digitale tramite il lettore integrato del laptop. Nessun dispositivo esterno necessario — basta un tocco e sei dentro.
Esempio di autenticazione di piattaforma
Autenticatori cross-platform: Detti anche autenticatori “roaming”, sono dispositivi esterni progettati per funzionare su più dispositivi. Ad esempio, puoi usare lo smartphone o una chiave fisica, come la Hideez Key, per accedere a un’applicazione desktop sul tuo computer.
Esempio: Le chiavi di sicurezza fisiche sono sempre considerate cross-platform, mentre gli smartphone possono agire sia da autenticatore interno (di piattaforma) che esterno, a seconda dell’utilizzo.
3. Quali piattaforme e browser supportano FIDO2?
Infine, è importante ricordare che anche il dispositivo e il browser devono supportare FIDO2. Al 2025, praticamente tutti i moderni sistemi operativi (Windows, macOS, iOS, Android) e browser (Chrome, Safari, Edge, Firefox) lo supportano. L’esperienza utente può variare leggermente da un dispositivo all’altro, ma la sicurezza alla base è la stessa.
Lo screenshot qui sotto offre una panoramica del supporto attuale:
4. FIDO2 vs. U2F – Qual è la differenza?
La differenza principale tra FIDO2 e FIDO U2F sta nel loro scopo. FIDO2 è stato creato per consentire l’autenticazione senza password, eliminando completamente la necessità delle password. Al contrario, FIDO U2F è stato progettato come secondo fattore per rafforzare l’accesso basato su password.
Con il rilascio di FIDO2, U2F è stato integrato nel framework FIDO2 con il nome di CTAP1 (Client to Authenticator Protocol 1). Questo garantisce che i dispositivi U2F esistenti possano ancora essere utilizzati come secondo fattore nei sistemi compatibili con FIDO2, mantenendo la retrocompatibilità. I siti che supportano FIDO2 di solito permettono il login senza password, ma alcuni utilizzano ancora U2F per scenari di 2FA avanzata.
Inoltre, FIDO2 ha introdotto CTAP2 e WebAuthn come parti del suo standard moderno. CTAP2 consente capacità avanzate di autenticazione FIDO, incluso il login passwordless. I dispositivi che supportano CTAP2 sono considerati autenticatori FIDO2 e, se compatibili anche con CTAP1, offrono supporto retroattivo a U2F.
5. FIDO2 vs. WebAuthn
FIDO2 e WebAuthn sono strettamente correlati, ma con ruoli differenti. FIDO2 è lo standard più ampio che include sia WebAuthn (sviluppato dal W3C) che CTAP2 (sviluppato dalla FIDO Alliance). WebAuthn è l’API web che permette ai browser e ai server di comunicare con gli autenticatori FIDO2, consentendo il login senza password. È il protocollo che rende FIDO2 utilizzabile su siti e app web. Mentre WebAuthn gestisce la comunicazione, CTAP2 definisce come gli autenticatori interagiscono con i dispositivi client.
6. FIDO2 vs. FIDO
FIDO (Fast Identity Online) è l’alleanza e il framework principale che include tutti gli standard: FIDO U2F, FIDO2 e i relativi protocolli. FIDO2 rappresenta un’evoluzione del framework originale, ampliando le sue capacità per permettere l’autenticazione senza password tramite WebAuthn e CTAP2. Al contrario, FIDO U2F, parte della struttura iniziale, si è focalizzato esclusivamente sull’autenticazione a due fattori come secondo livello di sicurezza.
