Passkey nel 2025: la guida completa all’accesso senza password

Immagina di rinunciare a password e codici di verifica SMS e di accedere ad app e siti Web con una semplice scansione delle impronte digitali o anche solo con un sorriso rivolto alla fotocamera. Questo è quello che promettono le passkey. Inoltre, a differenza delle password, le passkey sono resistenti ai furti. Ciò significa che è possibile leggere le notizie sulle violazioni dei dati, come quella recente che ha colpito 16 miliardi di account, senza che diventi motivo di agitazione.

Questo metodo di accesso, che troviamo con nomi diversi, è fortemente consigliato da WhatsApp, Xbox, Microsoft 365, YouTube e da decine di altri famosi servizi online. Ma che aspetto ha nella pratica l’utilizzo delle passkey? È stato trattato in dettaglio l’argomento per gli account Google e oggi esploreremo il modo in cui altri servizi e piattaforme online supportano le passkey. In questo primo post verranno illustrate le nozioni di base sull’utilizzo delle passkey in uno o più dispositivi. Nel prossimo post ci addentreremo in scenari più complessi, come l’accesso con l’account da un computer pubblico, l’utilizzo di Linux o l’archiviazione delle passkey in una chiave hardware.

Cos’è una passkey?

Una passkey è una chiave digitale univoca creata per un sito Web o un’app specifici. Viene archiviata in modo sicuro nel dispositivo: smartphone, computer o una chiave hardware USB dedicata, ad esempio una YubiKey o un token di sicurezza Google Titan. Quando si accede, il dispositivo utilizza i dati biometrici o un PIN per verificare che si tratti dell’utente legittimo. Dopo la verifica, il dispositivo invia una risposta sicura, generata a partire da tale passkey univoca, al sito Web. Questo meccanismo offre una protezione efficace contro il furto degli account, possibile con le password tradizionali, sia tramite attacchi di phishing che attraverso violazioni dei siti Web. Le passkey sono supportate nei dispositivi Apple, Google e Microsoft e, in teoria, con la sincronizzazione nel cloud dovrebbero essere accessibili in tutti i dispositivi. Per un approfondimento sul funzionamento interno delle passkey, consulta il nostro precedente articolo sull’argomento.

Quanto sono sicure e facili da usare le passkey?

Prima di impegnarsi completamente a utilizzare le passkey, vale la pena considerare quanto sarebbero utili per la configurazione specifica. Sebbene la tecnologia stia diventando ampiamente adottata, ogni sito Web e piattaforma la implementa in modo diverso, utilizzando una terminologia diversa per le stesse funzionalità. Inoltre, il trasferimento o la sincronizzazione dele passkey può presentare difficoltà.

Se lo smartphone è l’unico dispositivo, si utilizzano dispositivi Apple o si dispone di un paio di dispositivi Android o ChromeOS recenti, è probabile che le passkey consentano di risparmiare tempo durante l’accesso a siti Web e app, con il minimo sforzo.

Tuttavia, se utilizzi più piattaforme e possiedi molti dispositivi, è consigliabile utilizzare un gestore di password e passkey di terze parti, ad esempio Kaspersky Password Manager, per un’esperienza più semplice. Anche in questo caso, potrebbero comunque verificarsi incompatibilità occasionali o interfacce strane in alcuni siti e app.

Per coloro che utilizzano browser meno comuni, sistemi operativi basati su Linux o computer e smartphone meno recenti, il passaggio alle passkey potrebbe essere del tutto impraticabile o presentare limitazioni significative.

È opportuno tenere presente che pochissimi servizi, se non nessuno, disattivano l’accesso basato su password quando si abilita una passkey. Ciò significa che, in realtà, la protezione avanzata contro la compromissione degli account non è efficace come pubblicizzato, a meno che non si disabiliti personalmente l’accesso con password in modo proattivo. D’altra parte, avere una password come metodo di accesso per il backup riduce al minimo i casi in cui si potrebbe perdere l’accesso all’account a causa di problemi con la passkey, ma ne parleremo più in dettaglio più avanti.

Dove sono supportate le passkey nel 2025?

Le passkey possono essere utilizzate nei principali sistemi operativi e browser e non è necessario disporre delle versioni più recenti in assoluto.

• Windows 11: supportato dalla versione 22H2 in poi, sebbene parzialmente utilizzabile anche in Windows 10 con gli aggiornamenti.
• macOS: supportato da Ventura in avanti.
• iOS/iPadOS: supportato dalla versione 16 in poi.
• Android: le passkey sono utilizzabili dalla versione 9, ma impostazioni aggiuntive cruciali, inclusa l’integrazione con gestori di password esterni e provider di passkey, sono diventate disponibili solo nella versione 14.
• Linux: la maggior parte delle principali distribuzioni non dispone del supporto nativo per la passkey; è tuttavia possibile utilizzare la tecnologia sfruttando i browser Chrome, Edge o Firefox insieme a un gestore password esterno o a un token USB. Approfondiremo come utilizzare le passkey in Linux nel nostro secondo post sull’argomento.
• Chrome/Edge/ Opera: le funzionalità di base delle passkey esistono dalla versione 108 Chromium, ma alcuni vantaggi e funzionalità importanti sono apparsi solo a partire dalla versione 128.
• Firefox: supportato dalla versione 122 in avanti. Nonostante il supporto del browser, le passkey spesso non funzionano in molti siti Web in particolare con Firefox.
• Safari: supportato dalla versione 16 in avanti, con alcune funzionalità disponibili solo nella versione 18 o successiva.

Per poter utilizzare una passkey, anche il sito Web o l’applicazione a cui si sta accedendo deve supportare la tecnologia. In centinaia lo fanno già, quindi ci limiteremo a citarne alcuni tra i principali.

• Microsoft: le passkey sono supportate per tutti gli account personali Microsoft e Xbox. A partire dalla primavera del 2025, al momento della creazione di un nuovo account, l’opzione principale offerta è la creazione di una passkey anziché l’impostazione di una password.
• iCloud: l’accesso con passkey è supportato per iCloud, ma la passkey stessa deve essere archiviata in un dispositivo Apple.
• Google: le passkey sono supportate per tutti gli Account Google personali, incluso YouTube.
• Meta: supporta le passkey per l’accesso a Facebook e WhatsApp.
• È inoltre possibile eliminare le password a favore delle passkey su X/Twitter, LinkedIn, Amazon, PayPal, TikTok, Yahoo, Discord, Adobe Creative Cloud, GitHub e altri.

Tra i servizi famosi che al momento non supportano le passkey sono inclusi ChatGPT, Claude, DeepSeek, Reddit, Spotify, Instagram, AliExpress, Temu e Shein.

Quali sono gli svantaggi delle passkey?

Quando si prende in considerazione il passaggio alle passkey e si decide come memorizzarle, è necessario tenere presenti alcuni importanti svantaggi. È improbabile che i primi due vengano risolti completamente, mentre altri potrebbero diventare meno significativi nel tempo.

• Chiunque riesca a sbloccare il dispositivo (conoscendo il PIN o riuscendo a ingannare Face ID grazie alla somiglianza con il proprietario del dispositivo) può potenzialmente accedere a tutti i suoi account. Questo è un punto particolarmente critico per i computer domestici condivisi.
• Se le Passkey sono archiviate in un unico dispositivo e tale dispositivo viene danneggiato o rubato, è possibile perdere l’accesso ai propri account. Se non sono stati impostati metodi di accesso alternativi, come una password o un’e-mail o un numero di telefono di backup, sarà necessario eseguire una procedura di ripristino dell’account. Per alcuni servizi online, l’operazione potrebbe richiedere giorni o addirittura settimane. E se è stato configurato l’accesso con sola passkey per l’e-mail principale, che riceve codici di ripristino per altri servizi, gli utenti potrebbero potenzialmente perdere i loro account per sempre.
• Gli utenti con più dispositivi che eseguono vari sistemi operativi o utilizzano browser diversi potrebbero riscontrare difficoltà nella sincronizzazione delle passkey. Maggiori informazioni di seguito.
• Se è necessario accedere a un account dal dispositivo di qualcun altro (ad esempio il computer di una biblioteca o di un hotel), il software obsoleto presente nel computer potrebbe impedire l’accesso con passkey. Quindi è fondamentale avere un piano B.
• Uno svantaggio meno evidente deriva dai punti precedenti: la maggior parte dei servizi online che offrono il passaggio alle passkey non disabilita gli altri metodi di accesso. Pertanto, se è stato protetto l’account con una password debole o riutilizzata prima di passare alle passkey, gli utenti malintenzionati potrebbero comunque compromettere l’account accedendo con la password anziché con la passkey.

Come creare e utilizzare le passkey in un singolo dispositivo?

Se stai utilizzando un solo dispositivo che supporta completamente le passkey (come gli smartphone Apple, Google o Samsung rilasciati negli ultimi due anni), passare alle passkey è un gioco da ragazzi.

Vai semplicemente alle impostazioni di ciascun servizio che utilizzi, trova la sezione “Sicurezza” e cerca l’opzione “Crea una passkey”.

Di seguito sono riportate istruzioni dettagliate per Google, Microsoft, Facebook, WhatsApp, TikTok, Discord, Amazon, PayPal, Adobe, Linkedin e Yahoo.

Non troverai le istruzioni per la creazione di una passkey per il tuo account iCloud qui perché questa operazione viene eseguita automaticamente. Ogni volta che si connette all’account un dispositivo che esegue iOS 16 o versioni successive o macOS Ventura o versioni successive, viene creata una passkey. Anche se non verrà visualizzato nelle impostazioni, quando accedi al sito Web iCloud da un dispositivo sconosciuto, sarà possibile utilizzare la passkey anziché una password.

Una volta create, le passkey vengono salvate in locale nel dispositivo: in iOS/ macOS sono in Keychain e in Android sono disponibili nel gestore delle password di Google. Windows è un po’ più complesso, poiché le passkey possono utilizzare la memoria integrata del computer (accessibile tramite Windows Hello) o altre opzioni di archiviazione.

In futuro, per accedere a un sito Web o a un’app, è sufficiente selezionare “Accedi con una passkey” e completare la verifica standard del dispositivo, che si tratti di impronta digitale, scansione del volto o PIN.

Le versioni più recenti di Safari in iOS e macOS, nonché Chrome in Windows e macOS (versione 136 e successive, con supporto Android “in arrivo”) ora offrono un’opzione di aggiornamento automatico. Se nel browser è presente una password salvata per un sito Web che ora supporta le passkey, dopo l’accesso, il browser potrebbe creare e salvare automaticamente una passkey, quindi richiedere di utilizzarla per futuri accessi senza password.

Come utilizzare le passkey su più dispositivi?

Se si dispone di più di un dispositivo, sarà necessario capire come sincronizzare le passkey su tutti questi dispositivi.

Se si utilizza solo Mac e iPhone o esclusivamente dispositivi Android e ChromeOS, non sarà necessario configurare manualmente le passkey su ciascun dispositivo. Sarà sufficiente creare tutte le passkey in un unico dispositivo e verificare che l’opzione di sincronizzazione sia abilitata nelle impostazioni.

Per iOS, è possibile abilitarlo nelle impostazioni dell’iPhone in Impostazioni → [proprio nome] → iCloud → Salvate su iCloud → Password e portachiavi → Sincronizza questo iPhone (guida completa). In Android, i dati salvati in Google Password Manager vengono sincronizzati automaticamente con l’Account Google dell’utente. Windows e Linux, tuttavia, al momento non dispongono di uno strumento di sincronizzazione delle passkey integrato, anche se Microsoft ha affermato che presto ne svilupperà uno.

Le cose si fanno un po’ più complicate per coloro che combinano più dispositivi, ad esempio Windows + Android o macOS + Android. Sebbene sia possibile utilizzare le passkey salvate in uno smartphone Android nel computer, in genere l’utilizzo è limitato a Chrome e solo a condizione che si esegua l’accesso al proprio Account Google nel browser. Dati i notevoli inconvenienti di Chrome per quanto riguarda la privacy e il tracciamento degli utenti, questa soluzione non piacerà a tutti. Inoltre, da un computer, questo consente di accedere ai siti Web solo con passkey; gli accessi all’app rimangono esclusivi dello smartphone Android.

Se sei un utente iPhone con un computer Windows, le password dell’iPhone sono accessibili tramite l’app iCloud per Windows, ma il sistema non supporta ancora le passkey.

Fortunatamente, un’efficace alternativa è disponibile dalla fine del 2024. I gestori di password di terze parti hanno gradualmente aggiunto funzionalità di gestione delle passkey in tutte le principali piattaforme. Pertanto, il modo più affidabile e universale per archiviare le passkey, indipendentemente dal numero di dispositivi utilizzati o dal tipo di tali dispositivi, è utilizzare un robusto gestore di password che supporti le passkey e NON sia sviluppato da Apple, Google o Microsoft. Ad esempio, Kaspersky Password Manager supporta già le passkey in Windows, e il supporto per Android è pianificato per luglio, mentre il supporto per iOS/ macOS per agosto 2025.

Un gestore di password risolve anche il problema di backup e ripristino sopra descritto. Se l’unico dispositivo con passkey archiviate in un gestore di password di terze parti viene smarrito o danneggiato, è possibile ripristinare le passkey in un nuovo dispositivo dall’archivio cloud protetto di gestione password.

Per utilizzare un gestore di password per le passkey, è necessario installarlo in tutti i dispositivi e aggiungere la relativa estensione del browser a tutti i browser del computer.

Come gestire le passkey?

La gestione delle passkey salvate avviene in modalità centralizzata. Se non si utilizza un gestore di password di terze parti, è possibile controllare, eliminare o sostituire le passkey obsolete nel modo seguente:

• iOS: per le versioni fino alla 17, accedi a Impostazioni → Password. A partire da iOS 18, utilizza l’app Passwords
• macOS Sequoia e versioni successive: utilizza l’app Password. Per le versioni precedenti, trova Passwords in Impostazioni di sistema.
• Android: le strutture dei menu variano in base al produttore, ma cerca un’impostazione come Passwords, Passkey e account o Password Manager. Per i dispositivi Samsung, apri l’app Samsung Pass.
• Windows: vai nelle impostazioni, quindi su Account → Passkey.
• Se si salvano le passkey in password manager di Google, è possibile gestirle dal computer tramite google.com.

Se stai utilizzando un Kaspersky Password Manager, tutta la gestione delle passkey si svolge all’interno dell’applicazione.

Nel prossimo post ci addentreremo in situazioni più complesse in cui si utilizzano le passkey, ad esempio:

• Come accedere al proprio account da un computer pubblico (ad esempio in un hotel o in una biblioteca).
• Se è possibile trasferire le passkey tra iOS e Android.
• Come archiviare le passkey nelle chiavi di sicurezza hardware (ad esempio i token YubiKey o Google Titan Security Key).
• Sfide che emergono quando si utilizzano le Passkey nei siti Web internazionali multilingue.
• Come proteggere l’account se supporta anche l’accesso basato su password come backup.

Nel frattempo, assicurati di iscriverti al nostro canale Telegram per non perderti la prossima parte!