Marcello LegaTi è mai capitato di dimenticare una password di Google o di Apple e che il servizio ti chiedesse di autenticarti tramite passkey? Oppure, se lavori in azienda, il dipartimento di IT potrebbe avervi già chiesto di iniziare a usarle, ma hai ancora dei dubbi.
In questo post spiegheremo bene:
- Cosa sono le password
- Cosa sono le passkey
- Che differenza c’è tra le passkey e le password
- Le passkey sono più sicure delle password?
- Vantaggi e svantaggi di password e passkey
- Come attivare le passkey e quando usarle
Buona lettura!
Cosa sono le password
Cominciamo dalle basi: una password è un codice segreto che usi per dimostrare a un sito o a un’app che sei davvero tu. In teoria dovrebbe conoscerla solo l’utente, anche se in pratica, però, le cose vanno spesso diversamente.
Molte persone usano password troppo semplici, come nomi, date di nascita, parole comuni o combinazioni facili da indovinare. Altre riutilizzano la stessa password per più servizi o account online, magari anche per molti anni.
È perfettamente comprensibile. Ricordare decine di password è praticamente impossibile senza un password manager. E oggi ne abbiamo circa 150-170 a testa, secondo le ultime ricerche di FootprintIQ Research.
Il problema è che una password può essere rubata in molti modi: può finire in un database compromesso, può essere inserita per sbaglio in un sito falso, può essere intercettata da uno spyware o addirittura indovinata con attacchi automatici (il cosiddetto credential stuffing, di cui abbiamo parlato in questo articolo sulle password rubate online). E se la stessa password viene usata per più account, la vulnerabilità si allarga e i danni potenziali aumentano a dismisura.
Per questo motivo, per anni il consiglio è sempre stato lo stesso. Usa password lunghe, uniche, difficili da indovinare e attiva l’autenticazione a due fattori. Queste sono ancora buone regole, ma oggi esiste anche un’alternativa più moderna e facile da gestire: le passkey.
Cosa sono le passkey
Una passkey è una credenziale digitale che ti permette di accedere a un account senza digitare una password. Invece di scrivere una parola segreta, confermi l’accesso con un metodo già usato per sbloccare il dispositivo, come il PIN, l’impronta digitale o il riconoscimento facciale.
La parte importante è questa. Il sito non riceve la tua impronta, la scansione del tuo volto o il PIN del telefono. Quei metodi servono solo a sbloccare localmente la passkey e confermare che sei tu a voler accedere.
Dietro le quinte, la passkey usa un sistema basato su due chiavi crittografiche, in modo simile alle app di messaggistica come WhatsApp: una chiave è pubblica e associata al servizio, mentre l’altra è privata, e viene conservata sul dispositivo o nel password manager. Quando accedi, il servizio verifica che tu possiedi la chiave giusta, ma senza chiederti di inserire una password.
Detto in modo ancora più semplice: con una password sei tu a ricordare e inserire l’elemento segreto che dimostra la tua identità. Con una passkey, invece, è il dispositivo a dimostrare che hai il diritto di accedere.
Password e passkey: qual è la differenza principale?
La differenza più importante è che una password è qualcosa che puoi scrivere, copiare, dimenticare o inserire nel posto sbagliato. Una passkey, invece, è legata al sito o all’app per cui è stata creata e non viene digitata manualmente.
Questo cambia molto dal punto di vista della sicurezza. Per esempio, se ricevi un’email di phishing che imita la pagina di accesso della tua banca online, potresti inserire la password senza accorgerti dell’inganno.
Con una passkey, invece, il sistema verifica che tu stia accedendo al sito corretto. Se la pagina è falsa, la passkey semplicemente non funzionerà, perché il sito falso non possiede la chiave pubblica.
Inoltre, sempre dal punto di vista della sicurezza, cambia anche il problema del riutilizzo. Una password può essere usata su dieci siti diversi, magari perché è comoda da ricordare. Una passkey, invece, è associata solo a un servizio, quindi anche se un account dovesse essere violato, gli altri rimarranno al sicuro.
Poi, cambia moltissimo l’esperienza di utilizzo:
- Non è necessario memorizzare o salvare decine di password.
- Non è necessario aggiornare periodicamente le password, perché la passkey rimane sempre uguale, a meno che non aggiorni l’impronta, la scansione o il dispositivo stesso.
- Le passkey sono molto più comode perché ti basta avere con te il tuo dispositivo, che di solito è lo smartphone.
- La passkey non può essere condivisa, per cui obbliga l’utente a usarla in modo sicuro.
Per questi e altri motivi più tecnici che non tratteremo in questo articolo, molte aziende tecnologiche ed esperti ritengono che le passkey siano più sicure e facili da utilizzare rispetto alle password.
Le passkey sono più sicure delle password?
In molti casi sì, soprattutto contro gli attacchi più comuni e per le persone normali che navigano su internet. Innanzitutto, le passkey sono più resistenti al phishing, perché non devi digitare nulla in una pagina che potrebbe essere falsa. E poi sono anche più comode perché, come abbiamo visto nella sezione precedente, non devi ricordare combinazioni lunghe e complesse. Inoltre, non possono essere riutilizzate su più siti, uno dei problemi più diffusi nella sicurezza degli account personali.
Questo non significa che le passkey rendano impossibile ogni tipo di attacco. Un account può comunque essere compromesso se il dispositivo non è protetto, se i metodi di recupero sono deboli o se l’utente approva accessi senza attenzione. Però, le passkey eliminano una delle parti più fragili del sistema. La password come segreto da ricordare, scrivere e, soprattutto, proteggere.
Il punto è che le password chiedono molto agli utenti. Devi crearle bene, conservarle nel luogo giusto, non riutilizzarle, non condividerle, non dimenticarle e non inserirle nei siti sbagliati. Le passkey spostano una parte di questo peso sul dispositivo e sui sistemi di autenticazione moderni, e tutto questo per l’utente medio è un vantaggio enorme.
Le password servono ancora?
Alla luce di quanto abbiamo detto, molte persone si chiedono “ma allora perché non smettiamo di usare le password e passiamo direttamente alle passkey?” La questione non è così semplice e, almeno per ora, le password servono ancora.
Le passkey si stanno diffondendo rapidamente, ma non tutti i servizi le supportano. Inoltre, molti account continueranno a usare le password come metodo alternativo, come opzione di recupero o come sistema di accesso da dispositivi non configurati.
Per questo non conviene pensare alle passkey come a un interruttore. Da oggi tutto cambia e le password spariscono. È più realistico vederle come una transizione. Dove puoi usare una passkey, soprattutto per gli account più importanti come la posta elettronica, la banca o gli account social, ha senso attivarla. Dove non puoi, devi continuare a usare password forti, uniche e possibilmente salvate in un password manager.
Per approfondire questo argomento, leggi il nostro articolo sul perché il futuro senza password è ancora lontano.
Vantaggi e limiti delle password
Le password hanno un vantaggio evidente: funzionano praticamente ovunque. Qualsiasi sito, app o servizio online prevede ancora un accesso con email e password. Sono facili da capire e non richiedono un dispositivo specifico o un ecosistema tecnologico particolare, come Apple o Microsoft.
Se vengono create e gestite bene, le password sono sicurissime. Una password lunga, unica, salvata in un password manager e protetta con autenticazione a due fattori resta un’ottima difesa.
Il problema è che, nella vita reale, molte password non vengono gestite così. Spesso sono corte, prevedibili, riutilizzate o salvate in modo poco sicuro. Alcune finiscono nelle note del telefono, negli screenshot, in qualche foglio di Excel, nelle email inviate a sé stessi o perfino nei post-it attaccati al monitor del computer. Altre vengono dimenticate e reimpostate continuamente, creando frustrazione e nuove possibilità di errori e vulnerabilità.
Le password sono semplici da capire, ma difficili da gestire bene su larga scala. E oggi ogni persona ha decine, se non centinaia, di account online.
Vantaggi e limiti delle passkey
Il vantaggio principale delle passkey è che rendono l’accesso più semplice e più resistente agli attacchi basati sul furto delle credenziali. Non devi ricordare nulla, non devi digitare nulla e non devi inventare l’ennesima combinazione di maiuscole, numeri e simboli.
Hanno però anche alcuni limiti pratici. L’esperienza può cambiare a seconda del dispositivo, del sistema operativo e del servizio utilizzato. Alcune passkey vengono sincronizzate tra dispositivi dello stesso ecosistema, altre possono essere gestite da un password manager, altre ancora possono dipendere da una chiave di sicurezza fisica.
Per l’utente, il punto delicato è capire dove sono salvate e cosa succede se cambia telefono, perde il computer o non ha più accesso al dispositivo principale. Per questo è importante non attivare le passkey a occhi chiusi, ma controllare anche le impostazioni di recupero dell’account. Email alternativa, numero di telefono aggiornato, dispositivi autorizzati e codici di backup, se disponibili.
Infine, alcuni esperti sottolineano che concentrare tutti i sistemi di autenticazione in un unico dispositivo può essere pericoloso, perché se da un lato semplifica l’accesso, dall’altro si converte nel cosiddetto single point of failure. Se perdi l’accesso al dispositivo, come fai a entrare nei tuoi account? Se un cybercriminale riuscisse a rubare e sbloccare il dispositivo, a quanti account e dati personali avrebbe accesso?
Cosa succede se perdi il telefono?
Questa è una delle preoccupazioni più comuni, ed è anche una delle più giuste e legittime. Se perdi il telefono, non significa automaticamente che chi lo trova possa entrare nei tuoi account. Per usare la passkey, in genere deve prima sbloccare il dispositivo con PIN, impronta o riconoscimento facciale. Se il telefono è protetto bene, il rischio si riduce molto.
Il vero problema non è solo la passkey, ma l’intero sistema di recupero. Se il tuo account dipende da un numero di telefono vecchio, da un’email che non usi più o da dispositivi non aggiornati, potresti avere difficoltà a rientrare. Prima di affidarti alle passkey per gli account importanti, conviene quindi verificare che i metodi di recupero siano corretti.
Come attivare le passkey e dove usarle
Arrivati a questo punto, ecco il nostro verdetto. Per adesso, inizia a usare le passkey negli ecosistemi più grandi, dove hai a disposizione molti metodi di autenticazione secondari per recuperare l’accesso:
- Google, Microsoft, Apple
- Servizi bancari e finanziari (se disponibili)
- Account social
- Piattaforme di pagamento
- App di marketplace che usi di più
- Account di lavoro, ma solo se supportati dal dipartimento IT.
Inizia con alcuni account, abituati a usarle e solo dopo estendile ad altri servizi online. E ricorda: il futuro senza password è ancora molto lontano, per cui devi ancora gestire le tue password in modo sicuro!
Domande frequenti sulle passkey
Le passkey sono più sicure delle password?
In generale sì. Le passkey sono più resistenti al phishing, non vengono digitate manualmente e non possono essere riutilizzate su più siti come spesso succede con le password. Non eliminano ogni rischio, ma riducono alcuni degli attacchi più comuni contro gli account online.
Posso usare una passkey senza impronta digitale?
Sì. In molti casi puoi usare anche il PIN del dispositivo, il riconoscimento facciale o una chiave di sicurezza fisica. L’impronta digitale è solo uno dei modi possibili per autorizzare l’uso della passkey, ma bisogna sottolineare che è anche uno dei più comodi e sicuri.
Cosa succede se perdo il mio telefono con la passkey?
Chi trova il telefono non può usare automaticamente le tue passkey, perché deve prima sbloccare il dispositivo. La passkey è una coppia di chiavi di crittografia, protette da un sistema di accesso al dispositivo. È molto difficile che un semplice ladro riesca ad hackerare il riconoscimento facciale del tuo smartphone o il lettore di impronte digitali.
Dove vengono salvate le passkey?
Dipende dal dispositivo e dal servizio. Possono essere salvate nel sistema operativo, in un account cloud collegato al dispositivo, in un password manager o in una chiave di sicurezza fisica. Per questo è utile controllare le impostazioni dell’account o del gestore di password che utilizzi.
Le passkey sostituiscono l’autenticazione a due fattori?
In molti casi possono semplificare o sostituire alcuni passaggi dell’autenticazione tradizionale, ma dipende dal servizio. Se un sito non supporta le passkey, l’autenticazione a due fattori resta una protezione fondamentale.
Una passkey può essere hackerata?
Nessun sistema è invulnerabile, ma una passkey è molto più difficile da rubare o riutilizzare rispetto a una password tradizionale. Il rischio principale riguarda la protezione del dispositivo, il recupero dell’account e l’eventuale compromissione dei sistemi collegati. Per questo è importante mantenere aggiornati dispositivi, account e metodi di sicurezza.
Come posso disattivare la richiesta di passkey?
Dipende dal servizio e dal dispositivo. Ad esempio, per gli account Microsoft, devi aprire l’app Impostazioni del dispositivo Windows e andare ad Account > Passkey > Opzioni avanzate. Qui, puoi attivare o disattivare i singoli servizi.
Per Google, invece, vai al tuo Account Google, seleziona Sicurezza e accesso e, nella sezione Come accedi a Google, seleziona Passkey e token di sicurezza. Qui puoi selezionare le passkey da eliminare.
Qual è il miglior gestore di password gratuito?
Mentre ti abitui a usare le passkey, puoi continuare a gestire le tue password in modo sicuro con un password manager. Quello integrato nel browser Chrome è un ottimo punto di partenza, ma noi ti consigliamo di provare Panda Dome Password, il nostro gestore delle password, incluso gratuitamente nei pacchetti di sicurezza Panda Dome.
Altri password manager gratuiti e che hanno ricevuto buone recensioni online sono Dashlane, KeePass e LastPass. Provali e decidi personalmente quale si adatta meglio alle tue esigenze.
CONTINUA A LEGGERE: La NSA americana consiglia di riavviare il telefono una volta a settimana
