Cos'è una passkey, concretamente?

Una **passkey** è una coppia di chiavi crittografiche (pubblica + privata) memorizzata sul tuo dispositivo (smartphone, computer, YubiKey). La chiave privata non lascia MAI il dispositivo. Quando accedi a un sito, questo invia una sfida crittografica, il tuo dispositivo la firma con la chiave privata (sbloccata da biometria o PIN) e il sito verifica con la chiave pubblica. **Nessuna password viene trasmessa o memorizzata**. Impossibile fare phishing (la firma funziona solo sul sito corretto).

Passkey vs. password: quali sono i veri vantaggi nel 2026?

Le **passkey** eliminano 3 grandi rischi delle password: (1) phishing impossibile — la firma crittografica funziona SOLO sul sito esattamente corretto; (2) nessuna password da memorizzare o digitare, sblocco biometrico in 1 secondo; (3) nessun segreto memorizzato lato server (non si può rubare ciò che non esiste). Svantaggio nel 2026: solo una minoranza dei grandi siti le supporta, contro praticamente tutti i siti per le password. Un password manager come Bitwarden o NordPass gestisce entrambi durante la transizione.

Le passkey sostituiranno le password nel 2026?

**Non ancora nel 2026**. L'adozione avanza rapidamente tra i GAFAM (Google, Apple, Microsoft, Github, Amazon supportano le passkey) ma resta limitata sui siti di nicchia. Nel 2026, una quota crescente ma ancora minoritaria dei grandi siti supporta le passkey, e solo una piccola frazione degli utenti le ha attivate. La transizione avverrà nell'arco di 5-10 anni. Nel frattempo, **passkey + password + 2FA** coesistono, e un manager come NordPass o Bitwarden gestisce tutti e tre.

Quali siti supportano davvero le passkey nel 2026?

**Adozione ampia** (passkey disponibili e consigliate): Google, Apple ID, Microsoft, Github, Amazon, eBay, PayPal, Adobe, Best Buy, Yahoo. **Adozione parziale** (passkey disponibili ma opzionali): LinkedIn, X (ex Twitter), Shopify, Cloudflare, Coinbase, Robinhood. **Non ancora** (giugno 2026): la maggior parte delle banche europee, molti SaaS B2B, siti e-commerce di nicchia, servizi della pubblica amministrazione. Verifica l'elenco aggiornato su passkeys.directory.

Conviene abilitare le passkey ora?

**Sì, ovunque possibile**. Benefici immediati: impossibilità di phishing (la firma funziona solo sul sito corretto), nessuna password da memorizzare o digitare, sblocco biometrico rapido. Mantieni attiva la tua password Bitwarden come metodo di fallback (in caso di perdita del dispositivo o di passkey non sincronizzate). Raccomandazione: abilita le passkey su Google, Apple ID, Github e tutti gli account critici dove vengono offerte.

Passkey vs. Password 2026: La fine dei password manager?

Q: NordPass e Bitwarden supportano le passkey?

**Sì, dal 2024**. NordPass e Bitwarden possono entrambi memorizzare e sincronizzare le passkey per i siti compatibili. Puoi quindi usare Bitwarden come provider di passkey multipiattaforma (iOS, Android, Windows, macOS, Linux). Questo aggira il lock-in di Apple Keychain (solo iOS) o Google Password Manager (solo Android). **Vantaggio chiave**: le tue passkey sono sincronizzate su tutti i tuoi dispositivi tramite la loro crittografia zero-knowledge.

📌 Contesto 2026: NordPass e Bitwarden memorizzano entrambi le passkey cross-device dal 2024. Se non hai ancora scelto una cassaforte, NordPass resta la nostra scelta mainstream #1 (XChaCha20, sincronizzazione passkey fluida, 1,49 €/mese) — Bitwarden mantiene il vantaggio su open source / self-host.

Le passkey sono una grande svolta nell'autenticazione: nessuna password da memorizzare, anti-phishing by design, sblocco biometrico rapido. Ma a giugno 2026 non sostituiscono ancora le password — la transizione avverrà gradualmente nell'arco di 5-10 anni. Ecco come muoversi in questo periodo di coesistenza.

Passkey nel 2026: eccellenti dove sono supportate, ma la maggior parte dei grandi siti e la grande maggioranza dei siti di nicchia dipendono ancora dalle password. NordPass o Bitwarden resta essenziale.

01 — Cos'è esattamente una passkey?

Una passkey è una coppia di chiavi crittografiche (pubblica + privata) memorizzata sul tuo dispositivo. La chiave privata non lascia mai il dispositivo — protetta da biometria o PIN. Quando accedi, il sito invia una sfida crittografica che il tuo dispositivo firma localmente. Il sito verifica la firma con la chiave pubblica. Nessuna password viene trasmessa. Il risultato: il phishing diventa impossibile by design — la firma funziona solo sull'esatta origine crittografica del sito.

Una passkey è una coppia di chiavi crittografiche memorizzata sul tuo dispositivo:

Chiave privata: NON lascia MAI il dispositivo. Protetta da biometria (Face ID, Touch ID, Windows Hello) o PIN locale.
Chiave pubblica: inviata al sito durante la registrazione.

Durante un accesso:

Il sito invia una sfida crittografica (casuale) al tuo browser
Il tuo dispositivo ti chiede di sbloccare (biometria o PIN)
La chiave privata firma la sfida
Il sito verifica la firma con la chiave pubblica
✅ Accesso riuscito senza alcuna password trasmessa

Implicazione chiave: phishing impossibile (la firma funziona SOLO sul sito corretto, poiché legata all'origine crittografica).

02 — Adozione a giugno 2026: a che punto siamo

Grandi siti con forte adozione:

Google (tutte le app + Workspace)
Apple ID
Microsoft (account personale + Microsoft 365)
Amazon
Github
eBay, PayPal, Best Buy, Adobe, Yahoo

Adozione parziale:

LinkedIn, X (Twitter), Shopify, Cloudflare, Coinbase, Robinhood

Non ancora:

Grandi banche europee (BNP, Société Générale, ecc.)
Siti e-commerce di nicchia
Servizi della pubblica amministrazione (impots.gouv.fr, Ameli, ecc.)
La maggior parte dei SaaS B2B
Siti di stampa, forum, community

Stima di massima giugno 2026: una minoranza dei grandi siti globali supporta le passkey, e la quota di utenti che le ha abilitate su almeno un sito resta piccola — l'elenco aggiornato dei siti compatibili è su passkeys.directory.

02 bis — Cosa cambia la coesistenza nella pratica

Anche dove le passkey sono disponibili, l'esperienza resta disomogenea da un servizio all'altro nel 2026. Diversi attriti vanno previsti:

Le password restano spesso un fallback obbligatorio: molti servizi offrono le passkey come opzione ma mantengono la schermata password come predefinita. A volte bisogna cliccare esplicitamente su «Accedi in altro modo → passkey».
La sincronizzazione dipende dal tuo ecosistema: una passkey creata in Apple Keychain (iCloud Keychain) è condivisa tra dispositivi Apple, ma non è direttamente utilizzabile su Windows o Android senza passare per un manager multipiattaforma (NordPass, Bitwarden, 1Password) o una procedura di trasferimento.
Alcuni servizi reimpongono una riautenticazione periodica con password anche con una passkey attiva, per azioni sensibili.

Conseguenza pratica: una cassaforte multipiattaforma resta essenziale per memorizzare le password residue e fungere da provider di passkey unificato fuori dall'ecosistema Apple. La promessa anti-phishing delle passkey regge (è una proprietà crittografica di WebAuthn/FIDO2, non un'opinione), ma la copertura non è ancora universale.

03 — Vantaggi passkey vs. password

Criterio	Password	Passkey
Memorizzazione	Master password + 2FA	Nessuna (biometria)
Phishing	Vulnerabile	Impossibile by design
Riutilizzo	Rischio umano	Nessuno (chiave per sito)
Compromissione del server	Hash da craccare	Inutilizzabile (nessun segreto memorizzato)
Brute force	Possibile se master debole	Impossibile (chiave casuale a 256 bit)
UX	Digitazione + autofill	Tocco biometrico
Multi-dispositivo	Sync via manager	Sync via OS/manager
Trasferimento	Esporta/importa	In via di standardizzazione

Le passkey vincono su quasi tutti i criteri di sicurezza. Le password mantengono il vantaggio della portabilità totale e della disponibilità universale.

04 — NordPass + passkey: la combo vincente del 2026

NordPass e Bitwarden supportano le passkey dal 2024. Puoi quindi:

Memorizzare le tue passkey in NordPass (o Bitwarden) (invece di Apple Keychain o Google Password Manager)
Sincronizzare su tutti i tuoi dispositivi (iOS, Android, Windows, macOS, Linux) tramite la loro crittografia zero-knowledge
Conservare le tue password nella stessa cassaforte per i siti che non supportano ancora le passkey
Migrare gradualmente: abilita le passkey sui siti compatibili, mantieni password + 2FA sugli altri

Grande vantaggio: eviti il lock-in Apple-only (Keychain non funziona su Android) o Google-only (Password Manager limitato su iOS).

05 — Come abilitare le passkey ora

Su Google: myaccount.google.com → Sicurezza → Passkey e chiavi di sicurezza → Crea una passkey.

Su Apple ID: Impostazioni → [il tuo nome] → Accesso e sicurezza → Passkey.

Su Github: Settings → Password and authentication → Passkeys → Add a passkey.

Su Microsoft: account.microsoft.com → Sicurezza → Opzioni di sicurezza avanzate → Passkey.

Strategia di passaggio:

Abilita prima su Google + Apple ID (account cardine)
Poi su Github / Microsoft (se sei uno sviluppatore)
Poi su PayPal / Amazon (account finanziari/e-commerce)
Mantieni password Bitwarden + 2FA TOTP come fallback ovunque

06 — Rischi e limiti delle passkey

Perdita del dispositivo: se le tue passkey non sono sincronizzate (Apple Keychain offline) e perdi il tuo iPhone, la procedura di recupero è lunga (spesso: ripiego su password + 2FA email/SMS). Da qui il valore di un manager multipiattaforma come NordPass o Bitwarden.
Lock-in dell'ecosistema: Apple, Google, Microsoft spingono i propri provider di passkey per tenerti nel loro giardino. Bitwarden rompe questo lock-in.
Adozione disomogenea: finché la maggior parte dei siti non le supporta, avrai sempre bisogno delle password. Bitwarden gestisce entrambi.
Recupero dell'account: se perdi tutti i tuoi dispositivi E i tuoi backup Bitwarden, è finita. Da qui l'importanza dei backup cifrati del manager (Tools → Export Vault).

07 — Verdetto 2026

Le passkey sono migliori delle password su quasi tutti i criteri di sicurezza. Ma a giugno 2026 la transizione è ancora parziale: la maggior parte dei grandi siti e la grande maggioranza dei siti di nicchia dipendono ancora dalle password.

Raccomandazione: adotta una strategia ibrida:

✅ Passkey abilitate ovunque possibile (anti-phishing, UX rapida)
✅ NordPass Premium o Bitwarden per memorizzare passkey E password (multipiattaforma) — vedi il nostro ranking dei migliori password manager 2026 per scegliere quello giusto
✅ 2FA TOTP sugli account critici ancora su password
✅ Backup regolari del manager (esportazione cifrata)
✅ Per gli account ancora su password, verifica la loro robustezza attuale con il nostro verificatore di robustezza delle password

Tra 5-10 anni potremo parlare della fine delle password. Non nel 2026.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Scopri NordPass Premium →Provider di passkey dal 2024 · 1,49 €/mese piano biennale→

08 — Per approfondire

Recensione NordPass 2026 completa
Bitwarden vs. 1Password
Metodologia pubblica
Glossario password e autenticazione — definizioni di passkey, FIDO2, WebAuthn, TOTP, phishing e altro

Dati di adozione: registri pubblici passkeys.directory e annunci ufficiali dei fornitori (Google, Apple, Microsoft, GitHub, ecc.). Le percentuali di adozione sono stime indicative, non misurazioni esaustive.