Ogni anno miliardi di credenziali vengono rubate, vendute e usate per compromettere account. Esiste una soluzione già pronta - eppure quasi nessuno ne parla abbastanza.
Quando pensiamo alla sicurezza online, ci viene subito in mente il consiglio classico: usa una password lunga, non riutilizzarla mai, aggiungi maiuscole, numeri, simboli. Un consiglio sensato, ma inapplicabile su larga scala. La persona media gestisce oltre 100 account online - e la mente umana non è attrezzata per ricordare 100 sequenze casuali di caratteri.
Il risultato? Riutilizzo sistematico delle password. E quando anche solo uno di quegli account viene violato - che sia un vecchio forum o un servizio secondario - i criminali provano quelle stesse credenziali su banche, email, social media. Si chiama credential stuffing, ed è uno degli attacchi più diffusi e devastanti del web moderno.
Cos'è una passkey, esattamente?
Una passkey è una coppia di chiavi crittografiche - una pubblica, una privata - generate direttamente sul tuo dispositivo. Quando ti registri a un sito, il server memorizza solo la chiave pubblica (inutile da sola). La chiave privata non lascia mai il tuo telefono o computer, ed è protetta dal chip di sicurezza integrato nel dispositivo.
Per accedere, invece di digitare una password, sblocchi semplicemente il tuo dispositivo: con l'impronta digitale, il viso, o il PIN locale. Il dispositivo firma crittograficamente la richiesta di accesso, il server la verifica - e sei dentro. Nessuna password trasmessa. Nessun segreto condiviso. Con le passkey, anche se un server viene violato e i dati rubati, non c'è nulla di utile per un attaccante. La chiave privata non è mai lì.
Perché le password sono strutturalmente difettose
Il problema delle password non è solo comportamentale - è architetturale. Ogni volta che ti autentichi, quel segreto viene trasmesso al server remoto, che deve conservarne una copia. Questo crea due punti di vulnerabilità: il canale di trasmissione e il database del server.
Secondo le ultime statistiche, l'81% delle violazioni coinvolge password rubate o deboli, e due terzi degli utenti riusa la stessa password su più siti.
L'attacco che le passkey rendono impossibile
Il phishing - quella tecnica in cui una pagina falsa ti convince a inserire le tue credenziali - è responsabile di una quota enorme delle compromissioni di account. Con le passkey, questo attacco semplicemente non funziona: la crittografia lega ogni passkey al dominio specifico per cui è stata creata. Se sei su una pagina che imita paypal.com ma il dominio reale è diverso, il dispositivo non compierà mai l'autenticazione - anche se tu, ingannato, dai il via libera.
Non è una misura aggiuntiva di sicurezza. È una proprietà matematica del sistema.
L'adozione sta crescendo - ma lentamente
Google, Apple, Microsoft e centinaia di altri servizi supportano già le passkey. Apple le sincronizza automaticamente via iCloud Keychain, Google le gestisce tramite il suo Password Manager. Si stima che nel 2025 oltre 15 miliardi di account abbiano accesso alle passkey - eppure la maggioranza degli utenti non sa ancora cosa siano.
Il vero ostacolo non è tecnico, ma di comunicazione e abitudine. Ma ogni mese che passa senza passkey è un mese di database rubati, account compromessi e identità digitali violate.
Le password hanno funzionato per decenni - ma il web di oggi è troppo grande e troppo bersagliato per affidarsi a un sistema progettato in un'altra era. Le passkey non sono un miglioramento della password: sono la sua sostituzione. E la tecnologia è già pronta, nei vostri telefoni, adesso.