Microsoft Edge ha detto addio alla master password, e lo ha fatto in modo definitivo: dal 4 giugno 2026 la cosiddetta Custom Primary Password non esiste più. Era quella funzione che permetteva di proteggere le credenziali salvate nel browser aggiungendo una password principale, una sorta di lucchetto extra sopra tutto il resto. Adesso, al suo posto, il gestore di credenziali integrato si appoggia soltanto ai sistemi di autenticazione legati al dispositivo, come Windows Hello su Windows oppure Touch ID su macOS.
La mossa non arriva dal nulla. Fa parte di un percorso che Microsoft ha intrapreso da diversi anni, e che ha già toccato Microsoft Authenticator e gli account Microsoft. L’obiettivo dichiarato è abbastanza chiaro: rendere l’autenticazione passwordless lo standard predefinito di tutto l’ecosistema. In pratica, sempre meno password da ricordare, sempre più verifiche legate a ciò che si possiede o a ciò che si è.
Cosa cambia in Edge e perché proprio ora
Il processo era partito già a marzo 2026. In quel momento Microsoft aveva bloccato la creazione di nuove password principali, avvisando un po’ alla volta gli utenti che ne facevano uso. Poi, il 4 giugno, la disattivazione completa.
Da quel momento le cose funzionano diversamente. Quando qualcuno prova a visualizzare o compilare una password salvata, Edge chiede una verifica locale dell’identità: PIN, impronta digitale o riconoscimento facciale. Tutto questo sfruttando componenti hardware dedicati, come il Trusted Platform Module presente ormai nella maggior parte dei computer moderni. Un dettaglio che vale la pena sottolineare: i dati biometrici non vengono salvati come immagini complete del volto o dell’impronta, ma come modelli matematici protetti all’interno dell’hardware di sicurezza. Niente foto del viso archiviata da qualche parte, insomma.
La logica dietro questa scelta regge bene. Le passkey, su cui Microsoft ha spinto parecchio negli ultimi due anni, si basano sulla crittografia a chiave pubblica e privata: il segreto crittografico resta sul dispositivo e non viene mai inviato ai servizi online durante l’autenticazione. Significa che un malintenzionato il quale riesce a mettere le mani su un database di password non può comunque usare il PIN o i dati biometrici collegati a Windows Hello, perché quegli elementi sono fisicamente vincolati al dispositivo e ai suoi meccanismi di protezione. Attacchi come phishing, credential stuffing e riutilizzo delle credenziali diventano, di colpo, molto meno efficaci.
I dubbi e le alternative che restano
Detto questo, non tutti applaudono. Alcuni esperti fanno notare un punto interessante: la master password offriva un livello di separazione in più. Chi superava l’accesso al computer non otteneva in automatico anche l’accesso alle credenziali nel browser. Ora quel filtro intermedio sparisce.