Le passkey stanno diventando sempre più centrali nel dibattito sulla sicurezza digitale, e non è un caso. Chi segue il mondo della tecnologia avrà notato come le principali aziende del settore stiano spingendo forte su questa direzione, cercando di superare un modello che, dopo decenni, mostra tutti i suoi limiti. Parliamo ovviamente del confronto password vs passkey, un tema che riguarda chiunque abbia un account online, un telefono o anche solo una casella email.
Perché le password non bastano più
Il punto di partenza è semplice: le password tradizionali sono fragili. Non tanto perché il concetto in sé sia sbagliato, quanto perché l’uso reale che se ne fa le rende vulnerabili. La maggior parte delle persone riutilizza la stessa password su più servizi, sceglie combinazioni facili da ricordare (e quindi facili da indovinare), e cade vittima di tecniche di phishing sempre più sofisticate. I criminali informatici lo sanno bene e sfruttano queste abitudini con strumenti automatizzati capaci di testare milioni di combinazioni in pochi minuti.
Le campagne di phishing, poi, sono diventate qualcosa di completamente diverso rispetto a qualche anno fa. Non si tratta più solo di email sgrammaticate che chiedono di cliccare su un link sospetto. Oggi gli attacchi sono mirati, credibili, e spesso indistinguibili da comunicazioni legittime. Questo rende la protezione basata esclusivamente su password un sistema sempre meno affidabile, anche quando si adottano buone pratiche come l’uso di password manager o l’autenticazione a due fattori.
Come funzionano le passkey e perché cambiano le regole del gioco
Le passkey funzionano in modo radicalmente diverso. Invece di affidarsi a una stringa di testo che l’utente deve ricordare e digitare, si basano su un sistema di crittografia legato direttamente al dispositivo personale. Quando si crea una passkey, vengono generate due chiavi: una pubblica, che viene condivisa con il servizio, e una privata, che resta memorizzata in modo sicuro sul dispositivo dell’utente. L’autenticazione avviene attraverso il riconoscimento biometrico (impronta digitale, riconoscimento facciale) oppure tramite il PIN del dispositivo stesso.
Il vantaggio più evidente? Non c’è nulla da rubare nel senso tradizionale. Anche se qualcuno riuscisse a intercettare la chiave pubblica, sarebbe inutile senza quella privata, che non lascia mai il dispositivo personale. E il phishing diventa sostanzialmente inefficace, perché non esiste una password da inserire su un sito falso. Il sistema verifica automaticamente che il sito sia quello corretto prima di procedere con l’autenticazione.
Le grandi compagnie tecnologiche stanno investendo pesantemente sulle passkey proprio per questi motivi. La direzione è chiara: offrire un livello di sicurezza più alto senza complicare la vita agli utenti, anzi semplificandola. Niente più sequenze alfanumeriche da memorizzare, niente più reset frenetici dopo l’ennesima password dimenticata.
Quello che sta succedendo non è una semplice evoluzione tecnologica di nicchia. Le iniziative delle principali aziende del settore dimostrano che il passaggio dalle password alle passkey è già in atto, e coinvolge piattaforme utilizzate da miliardi di persone ogni giorno. Le tecniche di furto dati e phishing diventano sempre più complesse, e la risposta del mercato è stata quella di puntare su un sistema che elimina alla radice il problema principale: l’errore umano.