Cos'è una passkey e come funziona

Ultimamente ti è stato chiesto di "creare una passkey" per accedere a un sito web o a un'app. Se non sapevi bene cosa significasse — o se dovevi farlo — non sei il solo. Le passkey sono una novità, e la maggior parte delle spiegazioni presuppone già una certa familiarità con la tecnologia.

Ecco la versione breve: una passkey ti permette di accedere con il volto, l'impronta digitale o il PIN del tuo dispositivo, invece di digitare una password. Niente da ricordare. Niente da rubare.

Come funzionano le password (e perché sono un problema)

Quando crei un account su un sito web, scegli una password. Quella password viene conservata sui server del sito. Ogni volta che accedi, la digiti di nuovo e il sito verifica che corrisponda.

Il problema è che le password possono essere rubate. Se un sito viene violato dagli hacker, la tua password potrebbe finire nelle mani di estranei. E se hai usato la stessa password su altri siti — cosa che fanno la maggior parte delle persone — anche quegli account diventano vulnerabili.

Le password possono anche essere indovinate, intercettate o estorte tramite email e telefonate false. È un sistema progettato negli anni Sessanta, e da allora non ha smesso di causare problemi.

Come funziona invece una passkey

Una passkey funziona in modo diverso. Quando ne crei una, il tuo dispositivo genera due chiavi digitali collegate matematicamente tra loro:

• Una chiave privata rimane sul tuo dispositivo. Non viene mai condivisa. Nessuno può vederla — nemmeno tu direttamente.
• Una chiave pubblica viene inviata al sito web. Da sola è inutile.

Quando accedi, il sito invia una sfida al tuo dispositivo. Il dispositivo usa la chiave privata per rispondere. Se la risposta è corretta, sei dentro. L'intero processo richiede circa un secondo, e tu lo confermi nello stesso modo in cui sblocchi il telefono — con il volto, l'impronta digitale o il PIN.

Non c'è nulla da digitare, nulla da ricordare, e nulla che possa essere rubato da un sito violato. La chiave pubblica sul server è priva di significato senza la chiave privata sul tuo dispositivo.

Cosa succede se perdi il telefono?

Questa è la domanda che la maggior parte delle persone si pone, ed è quella giusta. La risposta dipende dal tuo dispositivo:

• Dispositivi Apple: le passkey si sincronizzano tramite iCloud Keychain. Se perdi l'iPhone, le tue passkey sono ancora disponibili su iPad o Mac — e su qualsiasi nuovo iPhone su cui accedi con il tuo Apple Account.
• Dispositivi Android: le passkey si sincronizzano tramite il tuo account Google, quindi ti seguono sul nuovo telefono.
• Windows: le passkey possono essere salvate in Windows Hello o sincronizzate tramite un gestore di password.

Il punto chiave: le passkey vengono salvate automaticamente. Perdere un dispositivo non significa perdere l'accesso ai tuoi account.

Vale la pena passare alle passkey?

Non tutti i siti supportano ancora le passkey, ma il numero cresce rapidamente. Google, Apple, Amazon, WhatsApp, PayPal e molte banche lo fanno già. Quando un sito ti offre la possibilità di creare una passkey, in generale conviene accettare.

Non devi cambiare tutto in una volta. Inizia con uno o due account importanti — la tua email, la tua banca — e vedi come ti trovi. La maggior parte delle persone la trova più veloce e semplice di quello che faceva prima.