Che cos'è una passkey e come funziona?

Cosa Sono le Passkey? Una Spiegazione Semplice per Tutti

Spiegalo Come Se Fossi un Esperto IT: Il Tuo Dispositivo È la Tua Credenziale

Immagina che la tua credenziale di accesso non sia una stringa di caratteri, ma una prova crittografica legata biometricamente al tuo dispositivo. Per accedere a un sistema, ti autentichi semplicemente sul tuo dispositivo. Non puoi perdere questa prova come accade con una password, e nessuno può rubarla o copiarla con mezzi convenzionali. Questa è una Passkey.

Invece di una password da ricordare (un "segreto condiviso" che può essere dimenticato o rubato), una Passkey è una credenziale digitale unica archiviata in un elemento hardware sicuro sul tuo dispositivo (telefono, laptop, tablet). Per accedere a un sito web o un'app, sblocchi il tuo dispositivo come fai normalmente — con il volto, l'impronta digitale o un PIN. Il tuo dispositivo conferma localmente la tua identità, e ottieni l’accesso. Il segreto principale della Passkey non lascia mai il tuo dispositivo e non viene mai trasmesso al server.

Passkey vs. Password: La Differenza Fondamentale

Il cambiamento fondamentale è il passaggio da un modello di "segreto condiviso" (la password, che conoscono sia tu che il server) a un modello basato su "chiave privata", in cui il segreto non lascia mai il tuo possesso. Questo semplice cambiamento ha enormi implicazioni sulla sicurezza per qualsiasi organizzazione.

Come Funziona la Crittografia a Chiave Pubblica

Quando crei una Passkey per un servizio, il tuo dispositivo genera una coppia unica di chiavi matematicamente collegate:

1. Chiave Privata: Questa è la tua credenziale segreta. È memorizzata nell'hardware sicuro del tuo dispositivo (come il Secure Enclave su un iPhone o il chip TPM su un PC). Non lascia mai il tuo dispositivo.

2. Chiave Pubblica: Questa è la parte non segreta. Il tuo dispositivo la invia al server del servizio, che la memorizza insieme al tuo nome utente. Pensala come un lucchetto pubblico che solo la tua chiave privata può aprire.

Quando desideri accedere, il server invia una sfida unica e temporanea al tuo dispositivo. Il tuo dispositivo utilizza la chiave privata per "firmare" crittograficamente questa sfida e invia la firma al server. Il server usa la chiave pubblica memorizzata per verificare la firma. Se corrisponde, dimostra che possiedi il dispositivo con la chiave privata corretta, e vieni autenticato. Nessuna password attraversa mai internet.

Perché le Passkey Sono una Rivoluzione per la Sicurezza

Immuni al Phishing per Progettazione: Come Fermano le Truffe

Gli attacchi di phishing hanno successo ingannando gli utenti affinché inseriscano le proprie password su un sito web fraudolento. Il sito del truffatore appare identico a quello della tua banca, ma l'URL è diverso. Inserisci le tue credenziali e vengono compromesse.

Le Passkey rendono questo vettore di attacco obsoleto.

Una Passkey è crittograficamente vincolata al vero nome di dominio del sito web (es. `https://mybank.com`). Quando tenti di accedere, il tuo browser e sistema operativo verificano questo dominio. Se ti trovi su un sito falso come `https://mybank-secure-login.net`, la Passkey per `mybank.com` semplicemente si rifiuterà di funzionare. Il browser nemmeno la proporrà come opzione. Non c’è alcun segreto da digitare, e quindi nulla che un truffatore possa rubare.

Eliminare il Rischio delle Violazioni dei Dati

Le violazioni di dati su larga scala sono una minaccia costante. Quando un database aziendale viene violato, gli aggressori rubano milioni di nomi utente e hash delle password. Successivamente, usano potenti computer per decifrare questi hash e risalire alle password originali.

Con le Passkey, anche una violazione del server non compromette le credenziali degli utenti. Il server conserva solo le chiavi pubbliche. Se gli hacker rubano l'intero database delle chiavi pubbliche, si ritrovano con una collezione inutile di serrature digitali senza chiavi corrispondenti. Non possono ricostruire le chiavi private a partire da quelle pubbliche, né usarle per effettuare l’accesso.

La Fine delle Password Deboli e Riutilizzate

Il più grande punto debole della sicurezza digitale è il comportamento umano. Gli utenti scelgono password semplici e facili da ricordare come Password123! e le riutilizzano su decine di servizi. Una violazione su un sito secondario può esporre la password di account aziendali critici.

Le Passkey risolvono il problema alla radice. Poiché la Passkey è una stringa crittografica lunga e complessa generata dal tuo dispositivo, è sempre incredibilmente robusta. E poiché viene creata una coppia di chiavi unica per ogni servizio, il riutilizzo delle password viene eliminato completamente. Ottieni la massima sicurezza per ogni account di default.

Più di una Password: Autenticazione Multi-Fattore (MFA) Integrata

La MFA aggiunge livelli di sicurezza richiedendo più di una semplice password. Si basa sulla verifica di diversi "fattori" di identità:

• Qualcosa che conosci: Una password o un PIN.

• Qualcosa che possiedi: Il tuo telefono o una chiave hardware.

• Qualcosa che sei: Una scansione dell’impronta o del volto.

Prova l’Accesso con Passkey nella Tua Organizzazione!

• 01
  Crea un account come amministratore IT
• 02
  Configura con il nostro assistente AI o prenota una chiamata con il supporto tecnico
• 03
  Aggiungi fino a 20 utenti gratuitamente

✨ Iscriviti

Come Creare e Usare la Tua Prima Passkey

Guida Passo-Passo: Creare una Passkey su un Sito Compatibile

Creare una Passkey è spesso più semplice che creare una password. Ecco il flusso tipico su siti come Google, PayPal o eBay:

1. Vai alle impostazioni di sicurezza del tuo account.

2. Trova l’opzione “Crea una Passkey” o “Aggiungi una Passkey.”

3. Il sito attiverà un messaggio del tuo sistema operativo (es. Windows Hello, Face ID/Touch ID di Apple, blocco schermo di Android).

4. Autenticati usando il tuo volto, l’impronta digitale o il PIN, proprio come fai per sbloccare il dispositivo.

5. Il processo è completo. Il tuo dispositivo genera la coppia di chiavi, invia la chiave pubblica al sito e salva localmente la Passkey.

Accesso Senza Attrito: Effettuare il Login sullo Stesso Dispositivo

È qui che l’esperienza utente cambia radicalmente. La prossima volta che visiti quel sito dallo stesso dispositivo:

1. Inserisci il tuo nome utente o l’email.

2. Il sito riconoscerà che hai una Passkey e ti inviterà automaticamente a usarla.

3. Autenticati con volto, impronta o PIN.

4. Sei connesso istantaneamente. Niente da digitare, nessun gestore di password richiesto.

Usare il Telefono per Accedere da un Computer (Metodo QR Code)

E se la tua Passkey è sul telefono, ma devi accedere da un portatile? Lo standard FIDO ha una soluzione intelligente chiamata autenticazione cross-device.

1. Sulla pagina di login del computer, scegli l’opzione per accedere con una Passkey da un altro dispositivo.

2. Apparirà un codice QR sullo schermo del computer.

3. Scansiona il codice QR con la fotocamera del tuo telefono.

4. Il telefono ti chiederà di approvare l’accesso usando la biometria.

5. Una volta approvato, il telefono utilizza il Bluetooth per comunicare in modo sicuro con il computer e completare l'accesso. La tua chiave privata non lascia mai il telefono.

Dove Sono Conservate le Passkey? Gestione delle Chiavi Digitali

Gestori Nativi delle Piattaforme: iCloud Keychain, Google e Windows Hello

I grandi colossi tecnologici hanno integrato la gestione delle Passkey direttamente nei loro ecosistemi.

• Portachiavi iCloud di Apple: le Passkey create su iPhone, iPad o Mac vengono sincronizzate automaticamente tramite iCloud, rendendole disponibili su tutti i tuoi dispositivi Apple attendibili.

• Google Password Manager: Le Passkey create su Android o in Chrome vengono salvate nel tuo account Google e sincronizzate tra i dispositivi Android e ogni computer dove hai effettuato l’accesso con Chrome.

• Windows Hello: Windows 10 e 11 ti permettono di creare Passkey collegate al tuo dispositivo, protette tramite PIN o biometria di Windows Hello.

Gestori di Password di Terze Parti per la Libertà Multi-Piattaforma

Per chi usa dispositivi di ecosistemi diversi (es. un iPhone con un PC Windows), i gestori di password di terze parti stanno rapidamente aggiungendo il supporto alle Passkey. Questi servizi offrono un modo coerente e indipendente dalla piattaforma per conservare e sincronizzare le Passkey su tutti i tuoi dispositivi.

Passkey Sincronizzate vs. Legate al Dispositivo: Praticità vs. Sicurezza Massima

Esistono due principali tipologie di Passkey:

• Passkey Sincronizzate (Multi-dispositivo): Sono le più comuni per i consumatori. Vengono conservate da Apple, Google o da un gestore di password e sincronizzate tra i dispositivi. Offrono grande praticità con backup e recupero integrati tramite l’account.

• Passkey Legate al Dispositivo (Monodispositivo): Sono associate a un singolo hardware, come il chip TPM di un computer o una chiave hardware dedicata. Non possono essere copiate né trasferite, offrendo il massimo livello di sicurezza perché non possono essere sottratte tramite phishing o accesso remoto, neanche in caso di compromissione dell’intero account cloud. È lo standard nelle aziende ad alta sicurezza.

Compatibilità con Dispositivi e Browser: Cosa Ti Serve per Iniziare

Sistemi Operativi Supportati

Il supporto alle Passkey è integrato in tutti i sistemi operativi moderni:

• iOS 16 e versioni successive
• iPadOS 16 e versioni successive
• macOS Ventura e versioni successive
• Android 9 e versioni successive
• Windows 10 (1903) e versioni successive

Browser Web Supportati

Le ultime versioni di tutti i principali browser supportano lo standard WebAuthn necessario per le Passkey:

• Chrome
• Safari
• Edge
• Firefox

Il Ruolo delle Chiavi di Sicurezza Hardware

Per il massimo livello di garanzia e portabilità, le chiavi di sicurezza hardware (come quelle compatibili con lo standard FIDO2) rappresentano una forma di Passkey legata al dispositivo. Sono dispositivi fisici che conservano le tue chiavi private, fornendo un’autenticazione MFA resistente al phishing, portabile su qualsiasi computer compatibile.

Quali App e Siti Supportano le Passkey?

Le Grandi Piattaforme Tecnologiche Guidano il Cambiamento

L’adozione cresce ogni giorno, con quasi tutte le principali aziende tech che supportano le Passkey per gli account dei consumatori:

• Google
• Apple
• Microsoft
• PayPal & eBay
• Amazon
• TikTok
• E molte altre...

Come Trovare Altri Servizi Compatibili con le Passkey

Tenere traccia dei servizi che supportano le Passkey può essere difficile. Risorse come la nostra lista di servizi web supportati mantengono una panoramica aggiornata dei siti e delle app che hanno implementato le Passkey, facilitando la tua transizione verso un mondo senza password.

Risposte a Dubbi e Domande Comuni (FAQ)

Cosa Succede Se Perdo il Telefono? Spiegazione del Processo di Recupero

È una paura comune, ma il processo di recupero è più efficace rispetto a quello delle password. Poiché le Passkey sono sincronizzate, se perdi il telefono, puoi comunque accedere usando la Passkey presente su un tablet o un laptop. Se perdi tutti i dispositivi, puoi utilizzare i metodi di recupero del tuo account cloud (Apple ID, Account Google).

Negli ambienti aziendali, questo processo è gestito in modo strutturato. Piattaforme come Hideez offrono agli amministratori una console centrale per implementare flussi di recupero sicuri e basati su policy. Ciò garantisce che un dipendente che perde un dispositivo possa essere riabilitato rapidamente, mantenendo la continuità operativa senza compromettere la sicurezza.

Posso Continuare a Usare la Mia Vecchia Password se Voglio?

Sì. Per il prossimo futuro, quasi tutti i servizi che adottano le Passkey continueranno a supportare le password come metodo di accesso alternativo. Questo consente una transizione graduale e assicura che gli utenti non restino bloccati se usano dispositivi più datati o non compatibili.

I Miei Dati Biometrici (Volto/Impronta) Vengono Inviati al Server?

Assolutamente no. Questo è un punto fondamentale per la privacy e la sicurezza. I tuoi dati biometrici non lasciano mai il dispositivo. Vengono elaborati localmente tramite l’hardware sicuro del tuo telefono o computer. Il loro unico scopo è verificare che sei l’utente autorizzato e "sbloccare" la chiave privata per firmare crittograficamente. Il server del sito non sa se hai usato il volto, l’impronta o un PIN.

Posso Usare le Passkey su un Computer Pubblico o Condiviso?

Sì, ed è molto più sicuro che digitare una password. Puoi usare il metodo con codice QR descritto prima. La tua Passkey resta sul tuo telefono e nessuna credenziale viene memorizzata sul computer pubblico.

Le Sfide e le Limitazioni Attuali di un Mondo Senza Password

Sebbene la tecnologia sia rivoluzionaria, la transizione non sarà immediata.

Il Lento Ritmo dell’Adozione Universale. Il principale ostacolo è il tempo. Milioni di siti e app devono aggiornare i propri sistemi per supportare lo standard FIDO2. Anche se i grandi nomi sono già pronti, ci vorranno anni prima che tutti i servizi adottino le Passkey.

Il Problema dei “Giardini Recintati”: Apple vs. Google vs. Microsoft. Anche se l’interoperabilità è migliorata molto, restano ancora attriti tra ecosistemi. È qui che i fornitori di identità aziendali giocano un ruolo cruciale. Una piattaforma unificata come Hideez semplifica questa complessità, offrendo una soluzione unica e gestibile con chiavi hardware compatibili e un server centrale per implementare Passkey funzionanti su tutti i dispositivi, indipendentemente dall’ecosistema.

Educazione degli Utenti e Superamento delle Vecchie Abitudini. Per 30 anni ci hanno insegnato a creare, ricordare e digitare password. Cambiare mentalità verso un nuovo paradigma in cui non devi ricordare nulla è una sfida educativa importante. Gli utenti devono fidarsi della tecnologia e capire come gestire le loro nuove chiavi digitali.

Hideez offre una soluzione end-to-end senza password, combinando chiavi hardware FIDO2 con una piattaforma di gestione centralizzata per proteggere i tuoi endpoint e semplificare la conformità.

Pronto a eliminare il tuo rischio di sicurezza più grande? Prenota una demo con i nostri esperti e scopri come Hideez può accompagnarti nella transizione verso un mondo senza password.

Scritto da:

Oleg Naumenko

CEO e Fondatore, Hideez