Cosa sono e come funzionano le passkeys, il futuro delle password

Chiunque usi con regolarità molteplici servizi informatici che richiedono un accesso tramite credenziali ha ben presente quale scocciatura siano diventate le password. Certamente le password servono a proteggere i nostri servizi da usi non autorizzati, ma ne abbiamo ormai talmente tante che è come andare in giro con un mazzo di chiavi sempre più grande: il rischio di perderne una, dimenticarla o confonderla è sempre più alto. Per questo, da tempo, il mondo dell’informatica sta pensando a delle soluzioni alternative e il ruolo di erede delle password sembra in questo senso destinato alle passkeys.

Cosa è una passkey e in cosa differisce da una password

Per capire che cosa siano una passkey occorre fare un passo indietro e capire come fa un servizio online che richiede l'accesso a verificare che solo chi è autorizzato possa entrare. Detto in altre parole: come faccio io, che sono autorizzato, ad “autenticarmi”, cioè a dimostrare di essere veramente io? Questa cosa si può fare in due modi: tramite qualcosa che so, oppure tramite qualcosa che possiedo.

La classica password (letteralmente: “la parola per entrare”) è un qualcosa che so. Sta nella propria testa, che in teoria è il luogo più sicuro che esista. In pratica, però, c’è il rischio di dimenticarla, e quindi si preferisce scriverla da qualche parte, oppure visto il grande numero di password che ormai ognuno di noi ha si tende a sceglierne una molto semplice, che diventa sempre la stessa in ogni sito che la richiede. Il rischio connesso alle password è che qualche astuto truffatore ci convinca con l’inganno a rivelargliela, oppure che venga intercettata da qualche hacker. Tutti questi rischi rendono la password uno strumento ormai poco efficace per proteggere davvero i nostri servizi digitali.

La passkey (letteralmente: “la chiave per entrare”) non è più qualcosa che so, ma qualcosa che possiedo. Può essere una passkey un dispositivo fisico da utilizzare per confermare la propria identità, tipicamente il telefono o il computer che utilizzano un codice o i nostri dati biometrici (impronta digitale, viso...) per verificare l'accesso. La struttura informatica alla base delle passkeys, inoltre, le rende intrinsecamente più sicure delle password e meno vulnerabili ad attacchi di phishing.

Come funziona una passkey?

È possibile che molti stiano già utilizzando le passkey, senza sapere che si chiamano così. Attualmente un loro uso tipico non è in sostituzione delle password ma in aggiunta, per tutti quei servizi più sensibili che richiedono una doppia autenticazione così da proteggere meglio l'accesso. Un esempio pratico di questa tipologia di accesso è quello al proprio conto in banca, vediamo quindi di seguito i passaggi che si devono compiere per accedere al proprio conto in banca online, collegandosi da un computer.

Dapprima è necessario inserire il proprio nome utente e la tradizionale password (cioè la “cosa che so”).

Cliccando su “Accedi” NON si accede però direttamente al proprio conto in banca online, bensì si riceve una notifica sul telefono, cioè la “cosa che possiedo”. Nell’app della banca installata sul proprio telefono bisognerà cliccare sul pulsante autorizza (questo passaggio è la passkey) e poi inserire una seconda password, diversa dalla prima. In tal modo, un eventuale malfattore che volesse accedere al conto in banca di un terzo dovrebbe scoprire due password, impadronirsi del suo telefono e scoprire anche come sbloccarlo (a seconda delle impostazioni e del modello del telefono può essere sbloccato da un codice numerico, da un gesto, dall’impronta digitale o dal riconoscimento del viso).

Come configurare una passkey

Configurare una passkey è molto semplice: le istruzioni per farlo dipendono dall’account per il quale vuoi configurarla, ma in linea di massima sono abbastanza precise e simili tra loro. Si tratta in genere di accedere alle impostazioni del proprio account, andare nella sezione “Accesso e Sicurezza” o similari, e seguire le brevi istruzioni per attivare la passkey. Una volta configurata, per accedere all’account da quel dispositivo non sarà più necessario digitare la password ma semplicemente sbloccare il telefono con il proprio metodo (il gesto, l’impronta, il volto…).

Per attivare una passkey con Google, ad esempio, bisogna collegarsi con il proprio dispositivo alla pagina myaccount.google.com/signinoptions/passkeys (oppure cerca “attivare passkey Google”) e seguire le istruzioni.

La cosa più importante è configurare le passkey soltanto sui dispositivi di cui si è in pieno controllo: non usare il telefono di un amico e nemmeno il computer del lavoro, ma solo i tuoi dispositivi personali. Inoltre, è consigliabile non attivarle per account che condividi con altre persone (in certi casi sarebbe possibile farlo, ma è comunque una complicazione che al momento è meglio evitare).

Cosa succede se perdo il dispositivo su cui avevo attivato la passkey?

È una domanda che sorge spontanea, dato che abbiamo detto che le passkeys sono come delle chiavi per accedere a sistema informatico. Il paragone con le chiavi però si interrompe qui: perdere il dispositivo che abbiamo usato per configurare la passkey NON è come perdere una chiave di casa. Non si rimane chiusi fuori né c’è bisogno di cambiare la serratura, bisognerà semplicemente accedere all’account che avevamo configurato da un altro dispositivo e rimuovere la passkey o le passkeys associate al dispositivo perso o rubato.

È obbligatorio usare le passkeys?

Le passkeys rappresentano un passo in avanti rispetto alle password, sia in termini di comodità d’uso che di sicurezza. In questo periodo siamo ancora in una fase di prima transizione, dove molti servizi online (Google, Facebook, Twitter/X etc.) già supportano l’uso delle passkeys, ma non lo rendono obbligatorio. È probabile che in un futuro prossimo saranno sempre di più i servizi online che consentono l’uso delle passkeys, ed è altresì probabile che diventi il nuovo standard di accesso al posto delle password.

Se vuoi iniziare a familiarizzare con questo metodo di autenticazione, puoi provare con un servizio (magari quello di un social network che usi relativamente poco) e, se non incontri difficoltà, pian piano attivarlo anche sui tuoi servizi più importanti. Se invece sei reticente e preferisci aspettare, non c’è problema: puoi tranquillamente continuare il sistema che hai usato fino ad oggi, cioè le password.