Microsoft Edge passa a Windows Hello: addio master password sul browser

Dalla giornata di ieri, 4 giugno 2026, Microsoft ha completato la rimozione della Custom Primary Password da Edge, la funzione che permetteva di proteggere le credenziali salvate nel browser con una password principale aggiuntiva.

Al suo posto il gestore di credenziali integrato utilizza esclusivamente sistemi di autenticazione legati al dispositivo, come Windows Hello su Windows o Touch ID su macOS.

La decisione si inserisce in una trasformazione iniziata da anni, che ha già coinvolto Microsoft Authenticator e gli account Microsoft, e che punta a rendere l’autenticazione passwordless lo standard predefinito dell’intero ecosistema Microsoft.

Cosa cambia in Edge e perché proprio ora

Microsoft aveva avviato il processo di dismissione già nel marzo 2026, impedendo la creazione di nuove password principali e avvisando progressivamente gli utenti interessati. Dal 4 giugno la funzione è stata definitivamente disattivata.

Quando un utente tenta di visualizzare o compilare una password salvata, Edge richiede ora una verifica locale dell’identità tramite PIN, impronta digitale o riconoscimento facciale, sfruttando componenti hardware dedicati come il Trusted Platform Module presente nella maggior parte dei computer moderni. Le informazioni biometriche non vengono archiviate come immagini complete, ma come modelli matematici protetti all’interno dell’hardware di sicurezza.

La logica alla base della scelta è solida. Le passkey, su cui Microsoft ha accelerato negli ultimi due anni, sfruttano la crittografia a chiave pubblica e privata: il segreto crittografico rimane sul dispositivo e non viene mai trasmesso ai servizi online durante l’autenticazione. Un aggressore che ottiene una copia di un database di password non può sfruttare direttamente il PIN o i dati biometrici associati a Windows Hello, perché questi elementi sono fisicamente legati al dispositivo e ai suoi meccanismi di protezione hardware. Phishing, credential stuffing e riutilizzo delle credenziali diventano attacchi strutturalmente meno efficaci.

Non mancano però le perplessità. Alcuni esperti sottolineano che la master password offriva un livello di separazione aggiuntivo: chi riusciva a superare l’accesso al computer non otteneva automaticamente anche l’accesso alle credenziali archiviate nel browser. Esistono inoltre dubbi concreti legati a lettori di impronte difettosi, telecamere biometriche non funzionanti o configurazioni aziendali restrittive.

Per chi preferisce mantenere un modello di autenticazione indipendente dal sistema operativo restano disponibili password manager di terze parti, che continuano a supportare password principali personalizzate.