Passkey meglio delle password: ecco per quale Paese sono la prima scelta

Il National Cyber Security Centre britannico ha aggiornato le proprie linee guida sull’autenticazione, indicando le passkey come prima scelta per la protezione degli account.

È la prima volta che un’autorità governativa si esprime in modo così esplicito sulla superiorità di questo sistema rispetto alle password tradizionali. Il dato di contesto chiarisce perché: secondo Verizon e Microsoft, oltre l’80% delle violazioni informatiche coinvolge credenziali compromesse, spesso attraverso phishing o riutilizzo delle password su più servizi.

Come funzionano le passkey e perché sono più sicure

Le passkey si basano su crittografia asimmetrica. Durante la registrazione, il dispositivo genera una coppia di chiavi: una privata, conservata localmente e spesso protetta da hardware dedicato come Secure Enclave o Trusted Platform Module, e una pubblica condivisa con il servizio. Al momento dell’accesso, il server invia una sfida crittografica che viene firmata dalla chiave privata; il server verifica la firma con quella pubblica. Nessuna password transita mai in rete.

Questo modello elimina alcuni dei vettori di attacco più diffusi. Le passkey sono legate al dominio del servizio, quindi un sito fraudolento non può ottenere una firma valida anche se l’utente ci interagisce, rendendo il phishing di fatto inutile. Allo stesso modo, il credential stuffing perde efficacia perché non esistono credenziali riutilizzabili: anche un database compromesso non contiene informazioni direttamente sfruttabili.

Lo standard di riferimento è FIDO2, sviluppato dalla FIDO Alliance con il W3C. Apple, Google e Microsoft hanno già integrato il supporto nei rispettivi sistemi operativi, con sincronizzazione tra dispositivi tramite cloud cifrato.

Limiti reali e cosa manca ancora per un’adozione completa

Le passkey non sono prive di criticità. La dipendenza dal dispositivo fisico è il punto più sensibile: perdere o rompere uno smartphone può complicare l’accesso agli account, rendendo indispensabili meccanismi di recupero affidabili. Sul fronte della compatibilità, molti servizi non supportano ancora FIDO2 e numerose infrastrutture legacy continuano a basarsi su password, rallentando la transizione.

In ambito aziendale, l’integrazione richiede un lavoro più articolato: le passkey devono dialogare con sistemi di single sign-on, directory e controlli di accesso condizionale già esistenti. Non si tratta di un’adozione plug-and-play, ma di una revisione delle strategie di autenticazione.

Per gli utenti, il cambiamento si traduce in un’esperienza più semplice, con accesso tramite biometria o PIN locale senza dover ricordare password complesse. La sicurezza, però, resta legata alla protezione del dispositivo e alla corretta configurazione del backup.