Passkey: cosa sono e come usarle su smartphone e PC

Le passkey rappresentano un’evoluzione significativa nel sistema di autenticazione online, poiché sostituiscono la tradizionale combinazione di username e password con un meccanismo crittografico progettato per ridurre drasticamente il rischio di phishing, furto di credenziali e riutilizzo delle password. Il loro funzionamento si basa su standard sviluppati dalla FIDO Alliance e dal World Wide Web Consortium (W3C), già adottati da grandi piattaforme tecnologiche come Google, Apple e Microsoft.

A differenza delle password, che devono essere memorizzate, ricordate e protette dall’utente, le passkey sfruttano una coppia di chiavi crittografiche: una privata, conservata in modo sicuro sul dispositivo dell’utente, e una pubblica, registrata presso il servizio online. Questo approccio elimina la necessità di digitare credenziali, riducendo le superfici di attacco e migliorando l’esperienza di accesso.

Comprendere cosa sono le passkey e come usarle su smartphone e PC significa adottare un sistema di autenticazione più sicuro e meno vulnerabile agli errori umani.

Come funzionano le passkey: crittografia e autenticazione

Quando si crea una passkey su un servizio compatibile, il dispositivo genera una coppia di chiavi crittografiche. La chiave privata resta memorizzata localmente in un’area sicura del dispositivo, come il Secure Enclave di Apple o il Trusted Platform Module (TPM) su Windows. La chiave pubblica viene inviata al server del servizio.

Durante l’accesso, il server invia una richiesta di autenticazione che viene firmata con la chiave privata. Il server verifica la firma utilizzando la chiave pubblica registrata. Poiché la chiave privata non lascia mai il dispositivo, non può essere intercettata o rubata attraverso attacchi tradizionali.

L’autenticazione viene sbloccata tramite metodi biometrici o PIN locale, come impronta digitale, riconoscimento facciale o codice del dispositivo. Questo meccanismo integra qualcosa che si possiede (il dispositivo) con qualcosa che si è (biometria) o si conosce (PIN).

Vantaggi rispetto a password e 2FA tradizionale

Le passkey eliminano la necessità di creare e ricordare password complesse, riducendo il rischio di riutilizzo su più servizi, una delle principali cause di compromissione degli account. Inoltre, risultano intrinsecamente resistenti al phishing: la chiave privata è legata al dominio specifico del sito e non può essere utilizzata su pagine fraudolente.

Rispetto alla tradizionale autenticazione a due fattori, le passkey integrano in un unico passaggio ciò che prima richiedeva password più codice temporaneo. Non è necessario ricevere SMS o aprire app di autenticazione: il processo avviene in modo trasparente e rapido.

Un ulteriore vantaggio riguarda l’esperienza utente: l’accesso avviene con un tocco o uno sguardo, senza digitazione manuale. Questo riduce errori e tempi di login, soprattutto su dispositivi mobili.

Come usare le passkey su smartphone

Sui dispositivi iOS e Android recenti, il supporto alle passkey è integrato nel sistema operativo. Per utilizzarle, è necessario avere attivato un metodo di sblocco sicuro, come Face ID, Touch ID o PIN.

Quando si crea un nuovo account su un servizio compatibile o si modifica il metodo di accesso di un account esistente, viene proposta l’opzione di registrare una passkey. Accettando, il dispositivo genera e salva automaticamente la chiave privata nel portachiavi di sistema o nel gestore credenziali associato all’account Google o Apple.

Le passkey possono essere sincronizzate tra dispositivi dello stesso ecosistema tramite iCloud Keychain o Google Password Manager, consentendo l’accesso anche su smartphone o tablet diversi. In alternativa, è possibile utilizzare il telefono per autenticarsi su un altro dispositivo tramite QR code e Bluetooth, senza trasferire la chiave privata.

Come usare le passkey su PC

Su PC Windows 10 o successivi, le passkey possono essere gestite tramite Windows Hello, che integra autenticazione biometrica o PIN con il TPM del dispositivo. Anche su macOS, il sistema sfrutta il Secure Enclave per proteggere le chiavi private.

Durante l’accesso a un sito compatibile tramite browser aggiornati come Chrome, Edge o Safari, viene mostrata la richiesta di autenticazione tramite passkey. Se la passkey è memorizzata localmente, l’utente deve semplicemente confermare con impronta, volto o PIN.

Nel caso in cui la passkey sia salvata su uno smartphone, il browser può offrire l’opzione di utilizzare il telefono per autenticarsi. La scansione di un QR code attiva la verifica biometrica sul dispositivo mobile, che conferma l’accesso sul PC.

Gestione, backup e recupero

Sebbene le passkey eliminino la necessità di password tradizionali, è importante pianificare scenari di perdita o sostituzione del dispositivo. La sincronizzazione tramite account cloud facilita il recupero su nuovi dispositivi, purché si mantenga l’accesso all’account principale.

Molti servizi consentono di registrare più passkey per lo stesso account, ad esempio su smartphone e PC differenti. Questa ridondanza riduce il rischio di blocco in caso di guasto o smarrimento di un dispositivo.

È consigliabile mantenere almeno un metodo di recupero alternativo, come email secondaria o numero di telefono verificato, finché il supporto universale alle passkey non sarà completamente consolidato.

Compatibilità e limiti attuali

Non tutti i servizi online supportano ancora le passkey, anche se l’adozione è in crescita. È necessario utilizzare browser aggiornati e sistemi operativi recenti per garantire piena compatibilità.

In ambienti aziendali con gestione centralizzata delle credenziali, l’introduzione delle passkey può richiedere aggiornamenti infrastrutturali e policy interne adeguate. Tuttavia, il beneficio in termini di sicurezza e riduzione degli attacchi di phishing rende questa transizione sempre più strategica.

Le passkey rappresentano un modello di autenticazione progettato per superare le vulnerabilità strutturali delle password. Utilizzarle su smartphone e PC consente di combinare semplicità operativa e protezione avanzata, riducendo in modo significativo i rischi associati all’accesso agli account digitali.