Negli ultimi anni l’accesso ai servizi online è stato dominato da password e da sistemi di autenticazione a due fattori. Oggi il National Cyber Security Centre (NCSC), l’ente britannico collegato a GCHQ, invita gli utenti a considerare un cambio di paradigma: utilizzare le passkey memorizzate su dispositivi o gestori di credenziali al posto delle password. Le passkey sono progettate per ridurre il carico di gestione delle credenziali e per offrire un livello di protezione superiore contro gli attacchi comuni.
Questo suggerimento nasce da analisi tecniche che confrontano la robustezza delle passkey con quella delle combinazioni password+SMS 2FA. Secondo il NCSC, le passkey non solo semplificano l’esperienza d’accesso, ma limitano anche vettori di attacco come il furto di credenziali e l’intercettazione dei codici via SMS.
Per l’utente finale l’obiettivo è chiaro: meno frizioni e più sicurezza senza sacrificare la praticità.
Perché le passkey offrono maggiore sicurezza
Le passkey funzionano come credenziali crittografate legate al dispositivo: vengono generate e conservate sullo smartphone, sul computer o in servizi dedicati di gestione delle chiavi. Al momento del login l’utente verifica la propria identità tramite PIN o riconoscimento biometrico, evitando di digitare una stringa memorizzabile. Questo approccio riduce l’esposizione a tentativi di phishing in cui i criminali inducono le vittime a inserire le loro credenziali su siti falsi, perché non esiste una password trasferibile da un sito all’altro.
Resistenza al phishing e agli attacchi SIM swapping
Un punto cruciale è la protezione contro il phishing e il cosiddetto SIM swapping, una tecnica in cui un aggressore ottiene il controllo del numero di telefono della vittima per intercettare i codici SMS.
Le passkey eliminano la dipendenza dal numero di cellulare per la seconda verifica, rendendo inefficace la maggior parte degli attacchi che sfruttano l’intercettazione degli SMS. Per questo motivo il NCSC valuta le passkey come almeno altrettanto sicure, e spesso più sicure, rispetto a una password combinata con la 2FA via SMS.
Adozione e supporto nell’ecosistema digitale
Il passaggio alle passkey non è solo teorico: molte realtà pubbliche e private stanno già introducendo questa tecnologia. Il governo del Regno Unito ha previsto l’integrazione delle passkey nei servizi digitali, mentre il Servizio Sanitario Nazionale (NHS) è tra i primi enti pubblici a permettere l’accesso ai portali per pazienti tramite passkey. Anche grandi fornitori come Google e PayPal supportano questa modalità; Google segnala una percentuale significativa di utenti attivi con passkey registrate nel Regno Unito, e anche Microsoft ha iniziato a estendere il supporto alle proprie piattaforme.
Come funziona la portabilità tra dispositivi
Un’area di sviluppo importante è la possibilità di trasferire le passkey tra telefoni Android e device Apple o tra gestori diversi. Questa interoperabilità ha superato alcuni ostacoli tecnici che in passato avevano rallentato l’adozione. Grazie a standard condivisi e a soluzioni di sincronizzazione sicura, l’utente può spostare le proprie credenziali senza compromettere la sicurezza, rendendo la tecnologia più pratica e accessibile.
Implicazioni per utenti e imprese
Il NCSC ora consiglia alle persone di preferire le passkey quando sono disponibili, e suggerisce alle aziende orientate al consumatore di adottarle come opzione predefinita. Tuttavia, l’ente non raccomanda ancora l’uso esteso delle passkey per applicazioni aziendali interne, dove infrastrutture legacy e sistemi non aggiornati richiederanno tempi più lunghi per la migrazione.
Nel frattempo, dove le passkey non sono supportate, la raccomandazione resta quella di impostare password forti e abilitare la 2FA con metodi più resistenti possibile.
Secondo i responsabili del NCSC il passaggio graduale aiuterà a rafforzare la resilienza nazionale contro gli attacchi informatici. Le grandi banche e gli istituti finanziari dovrebbero introdurre le passkey nei prossimi anni attraverso un’adozione progressiva, stimata su un arco temporale di tre-cinque anni. Per l’utente comune, la transizione comincerà con l’abitudine: provare le passkey sui servizi che già le offrono è il primo passo verso un’autenticazione meno complessa e più sicura.
