Accedi dando un'occhiata al tuo telefono — nessuna password digitata, niente da dimenticare, niente da sottrarre con il phishing. Questa è una passkey, e nel 2026 è la tecnologia che sta silenziosamente sostituendo la password. Questa guida spiega, in modo semplice, cos'è una passkey, come funziona, perché è più sicura di una password e come mantenere le tue passkey disponibili su tutti i tuoi dispositivi.
Cos'è una passkey
Una passkey sostituisce la tua password con una coppia di chiavi crittografiche. Quando crei una passkey per un sito, il tuo dispositivo genera due chiavi:
- una chiave privata che non lascia mai il tuo dispositivo, protetta dal tuo volto, impronta o PIN;
- una chiave pubblica che il sito conserva.
Per accedere, il sito invia una sfida monouso; il tuo dispositivo la firma con la chiave privata e rispedisce la firma. Il sito la verifica con la chiave pubblica. Non digiti né trasmetti mai un segreto — approvi semplicemente con la tua biometria. È qualcosa che hai (il dispositivo che custodisce la chiave) più qualcosa che sei (la tua biometria).
Passkey vs password
Una password è un segreto condiviso: tu e il sito la possedete entrambi, la digiti e chiunque la rubi, la sottragga con il phishing o la indovini diventa te. Una passkey è una coppia di chiavi: la metà privata resta sul tuo dispositivo e non viene mai inviata, e il sito conserva solo la metà pubblica inutile per i ladri.
| Password | Passkey | |
|---|---|---|
| Segreto archiviato sul server | Sì (con hash) | No — solo una chiave pubblica |
| Sottraibile con il phishing | Sì | No (legata al dominio reale) |
| Riutilizzabile tra i siti | Spesso (male) | Mai — unica per sito |
| Devi ricordarla | Sì | No |
Per l'abitudine più ampia in cui si inserisce, vedi cos'è un gestore di password e cos'è una passphrase.
Perché le passkey sono più sicure
- Nessun segreto condiviso — una violazione del server fa trapelare solo chiavi pubbliche, che non possono far accedere nessuno. L'infinita sfilata di fughe di database di password smette semplicemente di avere importanza.
- Resistente al phishing — una passkey è legata al dominio esatto del sito, quindi una pagina di phishing simile non può attivare la tua passkey reale. Questo è il punto cruciale, dato che il phishing sconfigge anche le password forti. (Vedi cos'è il phishing.)
- Non viene inviato nulla di riutilizzabile — credential stuffing e riutilizzo delle password, la causa della maggior parte delle compromissioni degli account, non si applicano più.
Come vengono conservate e sincronizzate le passkey
Le tue chiavi private vivono sui tuoi dispositivi, ma di solito si sincronizzano così non resti vincolato a un solo apparecchio:
- Sincronizzazione di piattaforma — Portachiavi iCloud di Apple, Google Password Manager, Microsoft — comoda se vivi in un solo ecosistema.
- Un gestore di password multipiattaforma — conserva le tue passkey e le sincronizza tra iPhone, Android, Windows, Mac e browser, così non sei legato a un singolo fornitore e hai un'unica casa recuperabile per esse.
Le questioni del vincolo all'ecosistema e del recupero sono la principale frizione pratica con le passkey — e un gestore multipiattaforma è la risposta più pulita.
Conserva le tue passkey su ogni dispositivo → BitwardenOpen source · Archiviazione passkey multipiattaforma (iPhone, Android, Windows, Mac, browser) · Cassaforte zero-knowledge con 2FA→Dove puoi usare le passkey
Nel 2026 l'adozione è ampia — Google, Apple, Microsoft, Amazon, PayPal e molte banche supportano le passkey, con gestione nativa nei principali browser e sistemi operativi. Molti siti più piccoli usano ancora le password, quindi la configurazione realistica è ibrida: usa le passkey ovunque siano offerte e un gestore di password con una solida 2FA per il resto. Per approfondire configurazione e confronto, vedi passkey vs password e configurare le passkey su Google, Apple e Microsoft.
La conclusione
Una passkey ti fa accedere con una chiave privata sul tuo dispositivo, sbloccata dal tuo volto o dalla tua impronta, invece che con un segreto che digiti. Poiché non c'è alcun segreto condiviso e le passkey sono legate al sito reale, sconfiggono phishing, credential stuffing, riutilizzo e fughe di database in una sola mossa. Usa le passkey ovunque siano offerte, conservale in un gestore multipiattaforma così da non restare mai vincolato, e tieni un gestore di password con 2FA per i siti che non si sono ancora adeguati.
Guida editoriale basata sul modello di passkey FIDO2/WebAuthn documentato (chiave privata custodita dal dispositivo, verifica a chiave pubblica, legame al dominio). I link commerciali recano l'attributo rel="sponsored nofollow"; può applicarsi una commissione di affiliazione senza costi aggiuntivi per te.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Blinda i tuoi account → NordPassPassword forti e uniche · scanner di violazioni · piano gratuito→
