Addio password? La sincronizzazione delle passkey di Edge nel cloud fa discutere

Microsoft ha annunciato un importante aggiornamento per il suo browser Edge, integrato in Windows. La novità appena presentata introduce la possibilità di sincronizzare le passkey attraverso il cloud facendo leva sull’account Microsoft. L’obiettivo è spronare gli utenti ad abbandonare le password tradizionali, rendendo allo stesso tempo più semplice e sicuro l’accesso ai propri account da più dispositivi diversi.

Passkey: la nuova frontiera dell’autenticazione

Le passkey rappresentano l’evoluzione naturale delle credenziali di accesso, basate sullo standard aperto FIDO2 (Fast IDentity Online 2). A differenza delle password, per usarle non bisogna digitare nulla perché sfruttano i metodi di autenticazione integrati nel dispositivo come Windows Hello, l’impronta digitale, il riconoscimento facciale o il PIN.

Ogni passkey è composta da una coppia di chiavi crittografiche: la chiave privata rimane custodita sul dispositivo o sul cloud in forma crittografata; quella pubblica è registrata sul sito o servizio online. Si tratta di un approccio che riduce drasticamente i rischi di phishing, furto di credenziali e attacchi di forza bruta, poiché le chiavi non possono essere riutilizzate o copiate da un sito all’altro.

Le passkey sono la “bacchetta magica” per liberarsi delle password una volta per tutte?

Le passkey rappresentano un enorme passo avanti nella sicurezza digitale, ma non sono ancora pronte a sostituire completamente le password tradizionali. Pur essendo progettate per eliminare il concetto di “segreto condiviso” — pilastro del modello username-password —, le passkey pongono problemi ancora irrisolti legati a:

• Gestione multi-dispositivo.
• Recupero degli account in caso di perdita del dispositivo.
• Mancanza di interoperabilità tra ecosistemi diversi (Apple, Google, Microsoft).
• Persistenza di minacce come il session hijacking, che resta possibile anche in un contesto passwordless.

La sicurezza delle passkey deriva, come abbiamo visto, dall’uso della crittografia asimmetrica (chiave pubblica/privata) e dall’integrazione dei metodi biometrici locali. Tuttavia, la sincronizzazione sicura delle chiavi private tra dispositivi rimane un importante ostacolo tecnico. I meccanismi di backup e migrazione delle chiavi, spesso proprietari, limitano ancora la diffusione delle passkey su larga scala.

Come funziona la sincronizzazione delle passkey introdotta in Microsoft Edge

L’aggiornamento di Microsoft Edge risponde in modo diretto proprio ad alcune delle criticità che abbiamo sollevato in precedenza.

L’azienda di Redmond propone infatti un sistema di sincronizzazione cloud integrato con l’account Microsoft, basato su Microsoft Password Manager e su un livello aggiuntivo di protezione fornito da un PIN dedicato.

Edge adesso consente di sincronizzare automaticamente le passkey nel cloud Microsoft, accessibili da qualsiasi dispositivo associato allo stesso account. È la “ricetta” dell’azienda guidata da Satya Nadella per affrontare il problema della gestione multi-dispositivo.

Microsoft spiega che le passkey sono cifrate nel cloud e protette da Azure Confidential Ledger, che registra in modo immutabile tutte le operazioni. È un compromesso tra sicurezza e praticità, basato su crittografia end-to-end.

Il rovescio della medaglia, tuttavia, è che le chiavi private collegate a ogni passkey lasciano comunque il dispositivo dell’utente, seppure gestite in forma dichiaratamente sicura. Inoltre, Edge resta ancora vincolato all’ecosistema Microsoft, anche se l’azienda ha annunciato l’intenzione di estendere il supporto. Il problema dell’interoperabilità rimane, quindi, seppur parzialmente mitigato.

Disponibilità della nuova funzione di sincronizzazione delle passkey con Edge

La funzione di sincronizzazione delle passkey tramite Edge è indicata come attualmente in fase di distribuzione sui dispositivi Windows (Windows 10/11) con account Microsoft. Non è però al momento nota una data certa di disponibilità globale per tutti gli utenti.

Il supporto per i dispositivi mobili e i sistemi macOS è anch’esso in programma, seppur in date successive.