Password dimenticate, codici troppo deboli, furti di account: la vecchia parola d’ordine mostra ormai tutti i suoi limiti. La risposta delle grandi aziende tecnologiche si chiama passkey, un sistema che promette accessi più semplici e molto più sicuri. Vediamo cos’è e come funziona, spiegato in modo chiaro.
Cos’è una passkey
Una passkey è una credenziale digitale che permette di accedere a un sito o a un’app senza digitare alcuna password. Al posto della classica parola segreta, si usa lo stesso metodo con cui già si sblocca lo smartphone: l’impronta digitale, il riconoscimento del volto o il codice del dispositivo.
In pratica, l’account viene legato a un dispositivo di fiducia, come il telefono o il computer. Quando si vuole entrare, basta confermare la propria identità sul dispositivo e l’accesso avviene automaticamente. Niente più parole da ricordare, da scrivere o da reimpostare.
Perché le password tradizionali non bastano più
Le password hanno un difetto di fondo: sono un segreto condiviso. Lo conosci tu, ma lo conosce anche il servizio a cui ti colleghi, e questo le rende vulnerabili. Possono essere indovinate, rubate da un database violato, intercettate o carpite con l’inganno.
A questo si aggiunge il fattore umano: tendiamo a scegliere password semplici, a riutilizzarle su più siti e a dimenticarle. Il risultato è un sistema fragile, che da decenni rappresenta l’anello debole della sicurezza online.
Il problema del phishing
Una delle minacce più diffuse è il phishing: messaggi ingannevoli che imitano banche o servizi noti per spingerci a digitare le credenziali su pagine false. Con le password questo trucco funziona spesso. Le passkey, come vedremo, sono progettate proprio per rendere questo tipo di attacco molto più difficile.
Come funziona tecnicamente, spiegato semplice
Il cuore delle passkey è una tecnologia chiamata crittografia a chiavi. Quando crei una passkey, il tuo dispositivo genera una coppia di chiavi collegate tra loro: una chiave privata, che resta segreta e non lascia mai il dispositivo, e una chiave pubblica, che viene consegnata al sito.
Al momento dell’accesso, il sito invia una sorta di domanda, una “sfida” matematica. Il dispositivo la firma usando la chiave privata, ma solo dopo che hai confermato la tua identità con impronta o volto. Il sito verifica la firma con la chiave pubblica e, se tutto corrisponde, ti fa entrare. Il segreto vero, la chiave privata, non viene mai trasmesso né conservato dal servizio.
Perché sono più sicure
Questo meccanismo offre vantaggi notevoli. Non esistendo una password da rubare sui server, una violazione del sito non espone le credenziali di accesso. Inoltre la passkey è legata all’indirizzo del sito autentico: se finisci su una pagina falsa, semplicemente non funzionerà, perché non corrisponde all’originale. È questa caratteristica a renderla molto resistente al phishing.
Comodità oltre alla sicurezza
Le passkey non sono solo più sicure, ma anche più comode. Non bisogna inventare combinazioni complesse, ricordarle o reimpostarle. L’accesso si riduce a un gesto già abituale, lo stesso con cui sblocchiamo il telefono decine di volte al giorno. Le passkey possono inoltre sincronizzarsi in modo protetto tra i propri dispositivi, così da ritrovarle su telefono e computer.
Chi le sta adottando
La tecnologia nasce da uno standard aperto promosso da un’alleanza di aziende del settore e dai principali attori del web. Negli ultimi anni le passkey sono state integrate dai grandi sistemi operativi e da un numero crescente di servizi: gestori di posta, social network, negozi online e banche stanno progressivamente offrendo questa opzione ai propri utenti.
La transizione, però, è graduale. Per molto tempo password e passkey conviveranno, lasciando a ciascuno la libertà di scegliere. Chi vuole, può già attivarle dove sono disponibili, di solito nelle impostazioni di sicurezza del proprio account.
Cosa cambia per noi
L’arrivo delle passkey segna un passo verso un web in cui dimostrare la propria identità diventa più naturale e meno rischioso. Non è la fine di ogni problema di sicurezza, ma la sostituzione di uno strumento nato decenni fa con uno pensato per le minacce di oggi. Per chi si interessa di come la tecnologia entra nella vita quotidiana, è utile anche l’articolo su come l’intelligenza artificiale sta cambiando la scuola.
Domande frequenti
Cos’è una passkey in parole semplici?
È un modo per accedere ad app e siti senza password, usando l’impronta, il volto o il codice del proprio dispositivo.
Le passkey sostituiscono del tutto le password?
È l’obiettivo a lungo termine, ma per ora le due tecnologie convivono e l’utente può scegliere quale usare dove disponibile.
Sono davvero più sicure delle password?
Sì. Non c’è un segreto da rubare sui server e sono molto resistenti al phishing, perché funzionano solo sul sito autentico.
Se perdo il telefono perdo l’accesso?
No, se hai attivato la sincronizzazione protetta: le passkey possono essere ripristinate sugli altri tuoi dispositivi. È comunque buona norma avere più dispositivi o metodi di recupero configurati.
La mia impronta viene inviata ai siti?
No. I dati biometrici restano sul dispositivo e servono solo a sbloccare l’uso della chiave privata, che non lascia mai il dispositivo.
Dove posso attivare le passkey?
Di norma nelle impostazioni di sicurezza del proprio account, sui servizi che già le supportano.
Per approfondire lo standard tecnico puoi consultare la voce dedicata alle credenziali WebAuthn su Wikipedia.