Le passkey sono ora il metodo di login raccomandato dal governo britannico per accedere ai servizi digitali, al posto delle classiche password. A dirlo non è una startup della Silicon Valley o un colosso tech con interessi commerciali, ma il National Cyber Security Centre (NCSC), l’autorità tecnica sulla cybersicurezza del Regno Unito, che fa capo al GCHQ, la storica agenzia di intelligence britannica. Un cambio di rotta netto, se si pensa che solo l’anno scorso lo stesso ente aveva preferito non dare un sostegno pieno a questa tecnologia. I progressi registrati nel frattempo, però, sono stati sufficienti per arrivare a un’approvazione ufficiale e senza riserve.
Come funzionano le passkey e perché sono più sicure
Il meccanismo è semplice da spiegare, anche se sotto il cofano c’è parecchia tecnologia. Le passkey sostituiscono la password tradizionale con un sistema di autenticazione basato su crittografia a chiave pubblica. Nella pratica quotidiana, significa che per accedere a un servizio basta usare l’impronta digitale, il riconoscimento facciale o il PIN del proprio dispositivo. Niente più password da ricordare, niente stringhe complicate da digitare, niente credenziali che possano essere rubate con il phishing o riutilizzate su più siti. La chiave privata resta memorizzata sul dispositivo dell’utente e non viene mai condivisa con il servizio a cui ci si collega.
Ecco perché il sostegno del NCSC rappresenta il segnale istituzionale più forte mai arrivato finora a favore delle passkey. Non si tratta di un’azienda che promuove il proprio prodotto: è l’agenzia di cybersicurezza di un governo del G7 che prende posizione in modo chiaro. Le password appartengono al passato, le passkey al presente.
Jonathan Ellison, direttore della Resilienza Nazionale al NCSC, ha commentato la decisione sottolineando come i problemi che le password hanno causato per decenni non debbano più fare parte del processo di login, almeno per chi migra alle passkey. Un messaggio diretto, che non lascia molto spazio alle interpretazioni.
Il governo britannico punta sulle passkey anche per i propri servizi
La raccomandazione non resta solo sulla carta. Il governo britannico ha anche annunciato l’intenzione di implementare le passkey nei propri servizi digitali, proponendole come alternativa alla verifica via SMS. La stima è di un risparmio di milioni di sterline ogni anno, il che dà un’idea piuttosto concreta dei costi nascosti legati alla gestione delle password tradizionali e dei sistemi di autenticazione attuali.
C’è però un aspetto che va considerato. Non tutti i siti e i servizi online supportano ancora le passkey. La diffusione è in crescita, questo sì, ma resta ben lontana dall’essere universale. Per tutti quei servizi che non offrono ancora il supporto, il consiglio del NCSC è di continuare a usare un gestore di password per generare credenziali robuste e di abilitare sempre l’autenticazione a due fattori.
La transizione, insomma, sarà lunga. Le password non scompariranno da un giorno all’altro. Ogni servizio che aggiunge il supporto per le passkey, però, rende l’ecosistema digitale complessivamente più sicuro. E ogni utente che le adotta dove possibile elimina quello che resta il punto debole più sfruttato dai criminali informatici: la password debole, riutilizzata, banale. Quel tipo di vulnerabilità che nessun aggiornamento software può correggere al posto delle persone.
