Risposta breve: sì, le passkey sono sicure — e contro gli attacchi che davvero si impossessano degli account, sono nettamente più sicure delle password. Ma «sicura» non significa «niente a cui pensare». I rischi si spostano solo da ciò che non puoi controllare (un sito che viene violato) a ciò che controlli (il tuo dispositivo, la tua sincronizzazione, il tuo recupero). Questa guida spiega esattamente dove le passkey sono forti, dove sono i rischi reali e come usarle perché restino sicure.
Perché le passkey sono sicure per progettazione
Una passkey sostituisce la tua password con una coppia di chiavi crittografiche. Il tuo dispositivo conserva una chiave privata che non lo lascia mai; il sito memorizza solo una chiave pubblica. Per accedere, il tuo dispositivo firma una sfida monouso — non digiti né trasmetti mai un segreto. Questa singola scelta progettuale elimina i modi più comuni in cui cadono gli account:
- Nessun segreto condiviso da rubare col phishing. Una passkey è legata al dominio esatto del sito, quindi una pagina di phishing simile non può letteralmente attivare la tua vera passkey. È l'aspetto decisivo, perché il phishing sconfigge anche password forti. (Vedi cos'è il phishing.)
- Nessun database di password da far trapelare. Quando un sito viene violato, fa trapelare solo chiavi pubbliche — inutili per un attaccante. L'infinita sfilata di fughe di credenziali smette semplicemente di contare per quell'account.
- Nulla di riutilizzabile viene inviato. Il credential stuffing e il riutilizzo delle password — la causa della maggior parte delle compromissioni di account — non si applicano più, perché non c'è alcun segreto riutilizzabile da catturare.
Per il confronto diretto, vedi passkey vs password.
Allora, cosa può andare storto?
Il punto debole non è la crittografia — è la logistica. Ecco l'elenco onesto dei rischi:
- Un dispositivo completamente compromesso. Se un malware o un keylogger è già in esecuzione con accesso profondo sul tuo telefono o portatile, potrebbe abusare di una sessione dopo che sblocchi. Le passkey proteggono l'accesso; non riparano un endpoint già avvelenato. Tieni il sistema aggiornato ed evita app fuori dallo store.
- Il tuo dispositivo sbloccato in mani sbagliate. Una passkey si sblocca con la tua biometria o il PIN del dispositivo. Qualcuno con il tuo telefono e il tuo PIN potrebbe approvare un accesso. Un PIN non banale e il blocco biometrico chiudono gran parte di questo.
- Perdere l'unica copia. Se una passkey è legata al dispositivo e non sincronizzata, un dispositivo perso o rotto può significare perdere l'accesso a quell'account.
- Fiducia nella sincronizzazione. Le passkey sincronizzate sono sicure quanto l'account tramite cui si sincronizzano. Un account Apple, Google o del gestore protetto debolmente diventa il nuovo singolo punto di guasto — quindi quell'account ha bisogno di una propria credenziale principale forte e della 2FA.
Nota che nessuno di questi punti riguarda la rottura della crittografia — riguardano l'igiene del dispositivo e il recupero. È una superficie molto più piccola e controllabile di «uno qualunque delle centinaia di siti che custodiscono la mia password potrebbe essere violato».
Passkey vs password + 2FA
Spesso ci si chiede se una passkey sia davvero più sicura di una password forte sostenuta dall'autenticazione a due fattori. Per la maggior parte degli account, sì:
| Password + 2FA | Passkey | |
|---|---|---|
| Vulnerabile al phishing su pagina falsa | Sì (password e persino codici) | No — legata al dominio reale |
| Il server conserva un segreto usabile | Sì (password con hash) | No — solo una chiave pubblica |
| Vulnerabile al SIM-swap | Se usi codici SMS | No |
| Passi che esegui | Digitare la password, poi approvare un codice | Un tocco biometrico |
Una passkey combina di fatto qualcosa che hai (il tuo dispositivo) con qualcosa che sei (la tua biometria) in un unico passo resistente al phishing — ed è per questo che è considerata una forma più forte di accesso a più fattori, non una scorciatoia. Dove c'è di mezzo la 2FA via SMS, il divario è ancora più ampio, poiché i codici sono esposti agli attacchi di SIM-swap.
Come mantenere sicure le tue passkey nella pratica
- Blocca bene il tuo dispositivo — biometria attiva, un PIN forte, blocco automatico, sistema aggiornato.
- Sincronizza tramite una casa recuperabile. Conservare le passkey in un gestore di password multipiattaforma significa che non restano intrappolate su un solo dispositivo o in un solo ecosistema, con un percorso di recupero chiaro in caso di perdita del telefono.
- Proteggi l'account di sincronizzazione. Qualunque cosa custodisca le tue passkey — Apple, Google o un gestore — ha bisogno di una password principale forte e unica e di una propria 2FA.
- Tieni un accesso di riserva. Per gli account importanti, registra una seconda passkey (o codici di recupero) così che un singolo dispositivo perso non ti blocchi mai fuori.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Un gestore con 2FA e passkey integrate → NordPassSalva TOTP e passkey · crittografia XChaCha20 · cassaforte a conoscenza zero · piano gratuito→In sintesi
Le passkey sono sicure? Sì — e contro phishing, credential stuffing, riutilizzo e fughe di database, sono più sicure di qualsiasi password tu possa scegliere. I rischi rimanenti non sono crittografici; riguardano il tuo dispositivo e il tuo recupero: blocca il dispositivo, sincronizza le passkey tramite un account protetto e recuperabile, e tieni un accesso di riserva per gli account che contano. Fai questo e le passkey non sono solo sicure — sono l'accesso quotidiano più sicuro disponibile nel 2026.
Guida editoriale basata sul modello documentato delle passkey FIDO2/WebAuthn (chiave privata sul dispositivo, verifica tramite chiave pubblica, vincolo al dominio) e sulle prassi standard di sicurezza degli account. I link commerciali riportano l'attributo rel="sponsored nofollow"; può applicarsi una commissione di affiliazione senza costi aggiuntivi per te.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Blinda i tuoi account → NordPassPassword forti e uniche · scanner di violazioni · piano gratuito→Domande frequenti
Le passkey sono davvero sicure?
Sì — contro le minacce che si impossessano della maggior parte degli account, le passkey sono più sicure delle password. Una passkey è una coppia di chiavi crittografiche: la chiave privata resta sul tuo dispositivo e non viene mai inviata al sito, che conserva solo una chiave pubblica. Non c'è alcun segreto condiviso da rubare con il phishing, nessun database di password da far trapelare e niente di riutilizzabile da iniettare in altri login. I rischi rimanenti non riguardano la crittografia ma la logistica: perdere il dispositivo, fidarsi del luogo in cui le passkey si sincronizzano e il recupero dell'account. Tutto gestibile, e molto più piccolo dei rischi delle password che sostituiscono.
Una passkey può essere violata o rubata?
La chiave privata di una passkey non può esserti sottratta con il phishing come una password, perché non lascia mai il tuo dispositivo ed è legata al dominio esatto del sito — una pagina di login falsa non può attivarla. Non c'è nemmeno un segreto lato server da rubare in una violazione; un sito violato fa trapelare solo chiavi pubbliche inutili. La superficie d'attacco realistica è un dispositivo completamente compromesso con malware già attivo, oppure qualcuno con il tuo telefono sbloccato e il suo PIN. Una buona sicurezza del dispositivo (biometria, un PIN non banale, sistema aggiornato) chiude quasi tutto questo divario.
Cosa succede alle mie passkey se perdo il telefono?
Dipende da dove si trovano. La maggior parte delle passkey si sincronizza tramite un provider — iCloud Keychain di Apple, Google Password Manager o un gestore di password multipiattaforma — quindi accedere a quell'account su un nuovo dispositivo le ripristina. Se una passkey è legata al dispositivo e non sincronizzata, perdere il dispositivo può significare perdere quella passkey, motivo per cui ogni account dovrebbe avere anche un metodo di accesso di riserva o codici di recupero. Conservare le passkey in un gestore multipiattaforma e recuperabile evita di restare bloccati da un singolo dispositivo perso o rotto.
Una passkey è più sicura di una password con 2FA?
Nella maggior parte dei casi, sì. Una password più un codice via SMS o app sono due segreti che digiti o approvi ancora, ed entrambi possono essere rubati con il phishing su una pagina falsa convincente — e i codici SMS sono esposti agli attacchi di SIM-swap. Una passkey resiste al phishing per progettazione: funziona solo sul dominio reale e non trasmette nulla di riutilizzabile. Combina di fatto qualcosa che hai (il tuo dispositivo) e qualcosa che sei (la tua biometria) in un solo passo, ed è per questo che i team di sicurezza considerano la passkey una forma più forte di autenticazione a più fattori, non una scorciatoia più debole.
È sicuro conservare le passkey in un gestore di password?
Sì, ed è spesso la scelta più sicura nella pratica. Un gestore affidabile conserva le tue passkey in una cassaforte a conoscenza zero e cifrata end-to-end, le sincronizza su tutti i tuoi dispositivi e dà loro un'unica casa recuperabile invece di lasciarle sparse o legate a un solo ecosistema. Proteggi quella cassaforte con una password principale forte e unica e la 2FA, e ottieni la resistenza al phishing delle passkey più un percorso di recupero chiaro se un dispositivo va perso.
