Che cos'è una passkey, come funziona e come implementarla

Che cos'è una passkey e come cambia l'accesso aziendale 

Una passkey è una credenziale digitale basata sullo standard internazionale FIDO2 (Fast Identity Online), sviluppato dalla FIDO Alliance con la partecipazione di Apple, Google e Microsoft.

La differenza rispetto a una password tradizionale è sostanziale. L'eliminazione delle password è solo il primo effetto visibile. Una passkey lega la tua identità digitale fisicamente al tuo dispositivo (smartphone, computer o chiave hardware), trasformando il fattore di autenticazione in qualcosa che possiedi, non qualcosa che devi ricordare.

Ogni passkey è univoca per ogni sito o servizio. Non puoi riutilizzarla su piattaforme diverse, non viene trasmessa in chiaro sulla rete e non può essere rubata in blocco durante una violazione di database, perché sul server non risiede alcuna password da sottrarre.

Il risultato: l'accesso diventa più sicuro e più rapido allo stesso tempo.

Il meccanismo tecnico: crittografia a chiave pubblica e sicurezza locale

Dietro l'esperienza utente semplice c'è un meccanismo crittografico collaudato: la crittografia asimmetrica, nota anche come crittografia a chiave pubblica/privata.

Quando configuri una passkey per un servizio (ad esempio Microsoft 365), il tuo dispositivo genera automaticamente una coppia di chiavi. La chiave pubblica viene inviata e memorizzata sul server del servizio. La chiave privata rimane nel dispositivo, protetta all'interno del chip di sicurezza: il Secure Enclave su iOS e macOS, il chip TPM su Windows, il Titan M su Android.

Quando accedi, il server invia una sfida crittografica al tuo dispositivo. Per rispondervi, il dispositivo deve sbloccare la chiave privata con una conferma locale: il tuo volto tramite Face ID, il tuo dito tramite impronta digitale o un PIN. Solo in quel momento viene restituita una firma crittograficamente valida.

Nessun segreto sensibile transita mai sulla rete. L'hacker che intercetta il traffico non trova nulla di utile: una firma crittografica è inutile senza la chiave privata che l'ha generata, e quella chiave non lascia mai il tuo dispositivo.

Data Breach: hai tutto gli strumenti per prevenirlo? ➡️SCARICA IL KIT

Perché le passkey sono a prova di phishing

Pensa all'SMS con codice OTP. Funziona così: ricevi un numero, lo inserisci su un sito. Se quel sito è una copia contraffatta, identica all'originale, il codice viene intercettato in tempo reale da chi ha costruito la trappola. Questo attacco si chiama real-time phishing. Nel 2024, il 67,4% degli attacchi di phishing ha sfruttato qualche forma di intelligenza artificiale per rendersi più convincente.

Le passkey funzionano in modo radicalmente diverso. Sono legate al dominio specifico del servizio per cui sono state create. Il tuo dispositivo riconosce l'indirizzo esatto del sito con cui sta comunicando. Se un hacker ti reindirizza verso micros0ft.com invece di microsoft.com, la passkey non risponde: non esiste una credenziale valida per quel dominio contraffatto, e nessuna firma viene generata.

Questo principio è ciò che le rende "phishing-resistant" nella definizione tecnica della FIDO Alliance. La tabella seguente confronta i principali sistemi di autenticazione su tre variabili di rischio:

Il risultato è una riduzione significativa della superficie di attacco senza richiedere comportamenti diversi da parte degli utenti: basta un tocco o uno sguardo.

Gestione delle passkey in azienda: compatibilità e recovery

Integrare le passkey in un ambiente aziendale è più semplice di quanto sembri. I principali ambienti di lavoro le supportano già. Microsoft Entra ID (ex Azure AD) permette l'autenticazione passwordless con passkey conformi a FIDO2 per accedere a Microsoft 365, Teams e alle applicazioni aziendali. Google Workspace le supporta in modo nativo per gli account gestiti.

L'IT Manager si pone però una domanda legittima: cosa succede se un dipendente perde lo smartphone?

Il problema è reale, ma le strategie di recovery sono ben definite:

• il cloud sync delle passkey, tramite iCloud Keychain su Apple o il gestore password di Google su Android, permette di recuperare l'accesso su un nuovo dispositivo autenticandosi con il proprio account cloud; la sincronizzazione è cifrata end-to-end
• le chiavi di sicurezza fisiche, come YubiKey o Google Titan Key, possono essere registrate come metodo alternativo; conservarne una in cassaforte aziendale è una pratica di disaster recovery già consolidata
• i metodi di accesso di emergenza, governati dall'amministratore su Entra ID e Google Workspace, consentono il re-enrollment controllato durante il ripristino, senza esporre i sistemi a rischi aggiuntivi

La continuità operativa rimane garantita, purché la configurazione venga pianificata prima che si verifichi un problema. Questa pianificazione è la differenza tra una migrazione riuscita e un blocco imprevisto.

I vantaggi operativi per la produttività della tua PMI

L'adozione delle passkey non risponde solo a un'esigenza di sicurezza: produce un impatto concreto sui tempi e sui costi operativi quotidiani.

Le password dimenticate o compromesse generano una quota significativa dei ticket all'helpdesk IT in qualsiasi organizzazione. Liberare questo tempo significa liberare risorse per attività ad alto valore. I benefici più immediati per la gestione quotidiana sono:

• riduzione drastica dei ticket per il recupero delle password dimenticate
• accesso immediato e fluido ai sistemi aziendali da qualsiasi postazione
• maggiore protezione per gli account privilegiati e gli amministratori di sistema

A questi si aggiungono benefici di lungo periodo: l'eliminazione del rischio legato al riutilizzo delle password tra sistemi diversi e la semplificazione della compliance con normative come il GDPR e la direttiva NIS2, che richiedono misure di autenticazione adeguate al livello di rischio. Il mercato lo conferma: il tasso di utilizzo degli autenticatori phishing-resistant è cresciuto del 63% in un anno, e ad oggi il 75% dei dispositivi nel mondo supporta già le passkey.

Implementare le passkey con un consulente esperto

Passare al passwordless non è un'operazione che si esegue in un pomeriggio. Richiede un'analisi dell'infrastruttura esistente, la mappatura degli account privilegiati, la scelta della soluzione più compatibile con i sistemi già in uso e la formazione degli utenti. 
La sicurezza non è un prodotto "fai da te". Un'implementazione affrettata, senza una visione d'insieme, può creare più problemi di quelli che risolve: account bloccati, dipendenti che aggirano le policy, scenari di recovery non pianificati. 
Contattando DigitelNET hai a disposizione un consulente dedicato che valuta la tua infrastruttura, configura i dispositivi e forma il tuo team. E quando hai una domanda, parli direttamente con una persona: niente ticket, nessuna attesa. 

Vuoi sapere se la tua infrastruttura è pronta per le passkey? Richiedi una consulenza gratuita: analizziamo insieme la situazione attuale e costruiamo un piano di migrazione su misura per la tua azienda. 

FAQ sui sistemi di autenticazione e passkey

Qual è il sistema di autenticazione più diffuso?

Il sistema più usato oggi rimane la combinazione di password e codice temporaneo (OTP), inviato via SMS o generato da un'app come Google Authenticator: è il modello noto come autenticazione a due fattori (2FA). Nonostante sia più sicuro della sola password, è vulnerabile agli attacchi di phishing in tempo reale. Le passkey stanno diventando il nuovo standard proprio perché eliminano questa vulnerabilità strutturale.

Quali sono i metodi di autenticazione?

I metodi di autenticazione si classificano in tre categorie in base al fattore che verificano.

Il primo è il fattore di conoscenza: qualcosa che sai, come una password o un PIN. Il secondo è il fattore di possesso: qualcosa che hai, come uno smartphone o una chiave hardware. Il terzo è il fattore di inerenza: qualcosa che sei, come l'impronta digitale o il riconoscimento facciale.

Le passkey combinano il fattore di possesso (il dispositivo) con il fattore di inerenza (la biometria), in un unico gesto che non richiede di memorizzare nulla.

Qual è il meccanismo di autenticazione più semplice?

Il meccanismo più semplice è l'autenticazione a fattore singolo (SFA): inserisci solo una password. È immediato, ma anche il più esposto, perché una password può essere indovinata, rubata o intercettata. Le passkey offrono un'esperienza altrettanto rapida (un tocco o uno sguardo) con una protezione strutturalmente superiore, paragonabile alle soluzioni enterprise.

Quali sono i tipi di autenticazione?

I principali tipi sono quattro, ordinati per livello crescente di protezione:

• SFA (Single-Factor Authentication): autenticazione con un solo fattore, tipicamente la password; semplice ma ad alto rischio
• 2FA (Two-Factor Authentication): password più un secondo fattore come un OTP; più sicura, ma ancora vulnerabile al phishing in tempo reale
• MFA (Multi-Factor Authentication): due o più fattori combinati, che possono includere biometria, token hardware e notifiche push
• Passwordless: nessuna password, autenticazione basata su passkey o biometria diretta

Le passkey appartengono alla categoria passwordless e sono classificate anche come MFA, perché combinano possesso del dispositivo e inerenza biometrica. Per chi vuole unire massima protezione e rapidità d'accesso, rappresentano la scelta più equilibrata tra quelle oggi disponibili.