Le passkey non sono più soltanto un’alternativa interessante alle vecchie credenziali. Il National Cyber Security Centre del Regno Unito ha aggiornato le proprie linee guida sull’autenticazione e, per la prima volta in assoluto, un’autorità governativa le ha indicate come prima scelta per la protezione degli account. Non come opzione, non come raccomandazione generica: proprio come lo standard da preferire rispetto alle password tradizionali.
Il motivo dietro questa presa di posizione è tutt’altro che teorico. Secondo i dati di Verizon e Microsoft, oltre l’80% delle violazioni informatiche coinvolge credenziali compromesse. Nella maggior parte dei casi si parla di phishing oppure del classico vizio di riutilizzare la stessa password su decine di servizi diversi. Un problema enorme, che le passkey affrontano alla radice cambiando completamente il meccanismo di autenticazione.
Come funzionano le passkey e perché eliminano i rischi più comuni
Il funzionamento delle passkey si basa sulla crittografia asimmetrica. Quando ci si registra a un servizio, il dispositivo genera due chiavi: una privata, che resta conservata localmente e protetta da componenti hardware dedicati (come Secure Enclave o Trusted Platform Module), e una pubblica che viene condivisa con il servizio stesso. Al momento del login, il server invia una sfida crittografica. La chiave privata la firma, il server verifica tutto con quella pubblica. Nessuna password viaggia mai in rete.
Questo schema rende inutile il phishing nella sua forma classica: le passkey sono legate al dominio del servizio, quindi un sito fraudolento non può ottenere una firma valida nemmeno se qualcuno ci interagisce per sbaglio. Allo stesso modo, il credential stuffing (quegli attacchi automatizzati che provano credenziali rubate su più piattaforme) perde ogni efficacia, perché semplicemente non esistono credenziali riutilizzabili da provare. Anche nel caso in cui un database venisse compromesso, le informazioni al suo interno non sarebbero direttamente sfruttabili.
Lo standard tecnico di riferimento è FIDO2, sviluppato dalla FIDO Alliance insieme al W3C. Apple, Google e Microsoft hanno già integrato il supporto nei rispettivi sistemi operativi, con sincronizzazione tra dispositivi tramite cloud cifrato.
I limiti concreti che rallentano ancora l’adozione delle passkey
Sarebbe sbagliato raccontare le passkey come una soluzione perfetta. La dipendenza dal dispositivo fisico resta il punto più delicato: perdere o rompere uno smartphone può complicare parecchio l’accesso agli account, e questo rende indispensabili meccanismi di recupero che funzionino davvero. Sul fronte della compatibilità, poi, moltissimi servizi non supportano ancora FIDO2 e tantissime infrastrutture legacy continuano a basarsi sulle vecchie password, rallentando in modo significativo la transizione.
Nel mondo aziendale la questione si fa ancora più articolata. Le passkey devono integrarsi con sistemi di single sign-on, directory e controlli di accesso condizionale già esistenti. Non si tratta di qualcosa che si attiva con un clic: serve una revisione vera delle strategie di autenticazione, con tutto il lavoro che ne consegue.
Per chi usa questi sistemi nella vita di tutti i giorni, il cambiamento si traduce in un’esperienza decisamente più semplice. Niente più password complesse da ricordare: basta la biometria o un PIN locale. La sicurezza, però, resta legata alla protezione del dispositivo e alla corretta configurazione del backup delle passkey.