Passkey 2025: addio password (davvero). Cos’è, come funziona e cosa cambia per aziende e utenti

Pubblicato il 13/11/2025 | Categoria: Sicurezza informatica | Autore: Pacesoft

Passkey 2025: addio password (davvero). Cos’è, come funziona e cosa cambia per aziende e utenti

Le password sono state la chiave d’accesso del web per oltre 30 anni. Nel 2025, però, siamo davvero all’inizio della fine di questo modello: Google, Microsoft, Apple e molti altri colossi stanno spingendo sulle passkey, un nuovo sistema di autenticazione più sicuro e più comodo delle classiche credenziali.

In questo articolo vediamo, in modo pratico e non troppo tecnico:

  • che cosa sono le passkey e come funzionano;
  • perché nel 2025 tutti ne parlano (con qualche numero reale);
  • come attivarle sui servizi più usati (Google, Microsoft, Apple, password manager);
  • che impatto hanno su aziende, PMI, call center e portali interni;
  • una checklist per prepararsi al post-password.

Perché nel 2025 tutti parlano di passkey

Le passkey non sono più un esperimento per smanettoni: tra il 2022 e il 2024 la consapevolezza dei consumatori è passata dal 39% al 57%, secondo le ricerche della FIDO Alliance.

Nello stesso periodo, i grandi brand online (Adobe, Amazon, Apple, Google, PayPal, PlayStation, Shopify, TikTok e molti altri) hanno attivato le passkey sui propri servizi, permettendo a decine di miliardi di account di usarle per il login.

Alcuni esempi concreti:

  • Google ha reso le passkey il metodo di accesso predefinito per gli account personali, al posto della password tradizionale.
  • Windows 10 e 11 integrano le passkey tramite Windows Hello e, con gli aggiornamenti del 2024–2025, hanno esteso il supporto a password manager esterni e alla sincronizzazione su più dispositivi.
  • Apple sincronizza password e passkey tra i dispositivi tramite iCloud Keychain, con supporto su iOS, iPadOS, macOS, Safari e anche browser Chromium tramite estensione.

Nel 2025 la FIDO Alliance ha pubblicato anche il Passkey Index, mostrando che i login con passkey portano mediamente un aumento del tasso di successo (conversione login) di circa il 30% rispetto alle password tradizionali: non è solo un tema di sicurezza, ma anche di business.

Passkey in parole semplici

Una passkey è, semplificando, una “chiave digitale” che sostituisce la password ma funziona in modo completamente diverso. Non è una parola segreta che memorizzi nella testa, ma un paio di chiavi crittografiche:

  • chiave pubblica: viene salvata dal sito o dall’app (es. il tuo account Google);
  • chiave privata: rimane solo sul tuo dispositivo (smartphone, PC, security key) e non viene mai inviata ai server.

Quando fai login:

  1. il sito ti manda una sfida crittografica;
  2. il tuo dispositivo la firma con la chiave privata (protetta da impronta, Face ID, PIN, ecc.);
  3. il sito verifica la firma con la chiave pubblica che aveva salvato.

Il risultato è che:

  • il server non conserva più una password riutilizzabile;
  • non esiste una “stringa di testo” da rubare e usare altrove;
  • per autenticarti serve avere il dispositivo e superare il controllo locale (biometria o PIN).

In pratica, le passkey sono multi-fattore “integrato”: possesso (il device) + qualcosa che sei (impronta, volto) o che sai (PIN), ma senza codici via SMS, email o app aggiuntive.

Perché sono (davvero) più sicure delle password

Le passkey affrontano direttamente i problemi cronici delle password:

  • Phishing: non puoi “digitare la passkey” su un sito falso, perché non è una stringa di testo. Il browser/OS lega la passkey a un dominio preciso (es. accounts.google.com), quindi un clone su un altro dominio non funziona.
  • Credential stuffing: se un servizio subisce un data breach, la chiave pubblica rubata è inutile per accedere altrove, a differenza delle password riciclate.
  • Brute force e password deboli: non esiste l’utente che usa “123456” o “nome+cognome”. La chiave è generata in modo crittograficamente sicuro.
  • Falsi SMS / OTP: niente codici temporanei da intercettare, inoltrare o convincere l’utente a condividere.

Dal punto di vista utente, il vantaggio è banale ma gigantesco: non devi ricordare niente, ti basta sbloccare il dispositivo.

Come attivare le passkey sui servizi che usi ogni giorno

Google: passkey come metodo di accesso predefinito

Per gli account Google, le passkey sono ormai il metodo consigliato e, per molti utenti, già predefinito. Puoi gestirle dalla pagina di sicurezza del tuo account, sezione “Passkey”.

In pratica:

  1. accedi alle impostazioni di sicurezza del tuo account Google;
  2. vai su “Passkey” / “Chiavi di accesso”;
  3. aggiungi una nuova passkey usando:
    • lo smartphone (Android o iPhone);
    • il PC (Windows, macOS, Chromebook) con autenticazione biometrica o PIN;
    • oppure una security key FIDO2 compatibile.

Da quel momento, quando fai login, Google ti proporrà prima la passkey e solo in alternativa la password.

Microsoft e Windows 11: da passwordless a passkey “ovunque”

Microsoft ha spinto per anni il modello “passwordless” con Windows Hello e, dal 2024–2025, sta allineando tutto il suo ecosistema (Windows, Edge, Microsoft Account, Authenticator) alle passkey FIDO2.

Alcuni passaggi chiave:

  • Windows Hello supporta passkey FIDO2 per l’accesso ai servizi compatibili, usando volto, impronta o PIN legati al TPM del dispositivo.
  • Nel 2025 Windows 11 ha introdotto il supporto nativo a passkey manager di terze parti (come 1Password), rendendo più semplice usare lo stesso “vault” di passkey su più device.
  • Microsoft Authenticator sta abbandonando la gestione diretta di password e autofill per concentrarsi su MFA e passkey, spingendo ulteriormente il passaggio al modello senza password.

Per attivare le passkey sul tuo account Microsoft:

  1. vai sulle impostazioni di sicurezza del tuo account Microsoft;
  2. abilita l’opzione “account senza password” e aggiungi i metodi di accesso (Windows Hello, app, security key);
  3. usa Edge o un browser compatibile per registrare le passkey sui servizi che le supportano.

Apple, iCloud Keychain e passkey

Sul lato Apple, le passkey sono integrate in iCloud Keychain e sincronizzate tra i tuoi dispositivi (iPhone, iPad, Mac, Apple Watch, Vision Pro) in forma cifrata end-to-end.

Per l’utente finale, il flusso è molto semplice:

  1. attivi iCloud Keychain nelle impostazioni di iCloud;
  2. quando un sito o un’app supporta le passkey, Safari (o il browser con estensione iCloud Passwords) ti propone di registrare una passkey;
  3. da quel momento, potrai fare login con Face ID / Touch ID / codice dispositivo, senza ricordare nessuna password.

Le passkey vengono gestite insieme alle password salvate, ma con una protezione crittografica specifica descritta nella documentazione di sicurezza di Apple.

Password manager e passkey manager

I moderni password manager (1Password, Dashlane, Bitwarden, ecc.) stanno diventando anche passkey manager. Questo è particolarmente utile se:

  • usi più sistemi operativi (Windows + macOS + Android + iOS);
  • vuoi un’unica interfaccia per gestire sia password legacy sia passkey;
  • vuoi politiche di backup/export/import più flessibili rispetto ai singoli ecosistemi.

Cosa significano le passkey per le aziende (PMI, call center, CRM, portali interni)

Dal punto di vista aziendale, le passkey non sono solo “una comodità in più”, ma impattano:

  • Rischio di phishing e compromissione account: se non esiste password da inserire, è molto più difficile convincere un operatore a “digitarla su un sito fasullo” o a rivelarla al telefono.
  • Costi di helpdesk: meno reset password, meno ticket “non ricordo la password”, meno blocchi per errori di digitazione.
  • User experience su portali e CRM: login più rapidi e con meno attrito possono aumentare l’uso reale delle piattaforme (vendite, customer portal, self-care, ecc.). Il Passkey Index di FIDO parla di un miglioramento medio del 30% nel successo dei login.
  • Conformità e audit: poter dimostrare l’uso di sistemi di autenticazione moderni, resistenti al phishing, aiuta in percorsi verso standard come ISO 27001 o compliance settoriali.

Per realtà come call center, BPO, società di servizi, studi professionali e PMI, lo scenario realistico nei prossimi anni è un mix:

  • alcuni sistemi legacy ancora a password;
  • nuovi portali / SaaS che supportano passkey via WebAuthn;
  • integrazioni SSO/IdP che permettono di usare passkey per entrare nel “nucleo” dei sistemi aziendali.

Come preparare la tua azienda al “post-password”

Passare alle passkey non significa spegnere le password da un giorno all’altro. Un approccio realistico per il 2025–2026 può essere questo:

  1. Mappa dove oggi usi credenziali
    Elenca: portali interni, VPN, CRM, ERP, strumenti cloud, posta, remote desktop, ecc. Evidenzia dove esistono già opzioni passwordless / FIDO2 / passkey.
  2. Scegli la strategia di identità
    Valuta se puntare su:
    • un IdP centrale (Azure AD, Keycloak, Okta, ecc.) che espone WebAuthn/passkey;
    • un mix di account diretti (Google Workspace, Microsoft 365, ecc.) con policy interne coerenti.
  3. Abilita passkey dove è “indolore”
    Parti da servizi dove la funzionalità è già pronta (Google, Microsoft, Apple ID, principali SaaS), e diffondi l’uso tra gli utenti più sensibili (IT, finance, HR, gestione dati personali).
  4. Definisci le procedure di recupero
    Cosa succede se un utente perde il telefono o il laptop? Prevedi:
    • almeno due dispositivi registrati;
    • security key fisiche per gli account critici;
    • procedure di revoca e ri-enrollment chiare e documentate.
  5. Aggiorna policy e formazione
    Integra nelle policy di sicurezza:
    • quando e come usare passkey;
    • quando è ancora necessario un secondo fattore tradizionale;
    • come riconoscere tentativi di social engineering “post-password”.

FAQ veloci sulle passkey

Se perdo il telefono o il PC, ho perso anche le passkey?

Dipende da come le gestisci. Se usi la sincronizzazione cloud (Google Password Manager, iCloud Keychain, Microsoft Edge, password manager terzi), le passkey sono cifrate e replicate su più dispositivi e recuperabili dopo aver ripristinato l’account. Se invece le tieni solo in locale, è buona pratica avere almeno una security key hardware di backup.

Le passkey sono obbligatorie? Posso continuare a usare le password?

Al momento quasi tutti i servizi mantengono le password come opzione di fallback. Però la direzione è chiara: sempre più piattaforme spingono le passkey come metodo predefinito, riducendo progressivamente il ruolo della password a “rete di sicurezza” o metodo legacy.

Devo per forza usare l’impronta o il volto?

No. Le passkey richiedono un fattore locale di sblocco: può essere biometrico (impronta, volto) o un PIN del dispositivo. Su molti sistemi puoi scegliere o combinare entrambi.

Le passkey funzionano anche per gli accessi aziendali interni?

Sì, se il tuo identity provider o il tuo sistema di autenticazione supporta WebAuthn / FIDO2. Molti IdP enterprise lo fanno già, ma spesso la funzionalità va configurata e inserita in una strategia più ampia (SSO, MFA, gestione lifecycle account).

Le passkey eliminano del tutto la necessità di MFA?

Più che eliminarla, la incorporano. Una passkey ben configurata è di fatto un’autenticazione multifattore (device + biometria/PIN) senza i passaggi macchinosi tipici dei codici OTP. In alcuni scenari ad alto rischio, comunque, potresti voler aggiungere ulteriori controlli (es. approvazioni out-of-band, controllo di contesto, ecc.).

Conclusioni: 2025 è l’anno in cui le passkey smettono di essere teoria

Per anni si è parlato di “futuro senza password” in modo astratto. Nel 2025 questo futuro è diventato molto concreto: i principali account personali e molti sistemi aziendali possono già usare le passkey, con vantaggi tangibili sia in termini di sicurezza sia di usabilità.

Se gestisci sistemi, portali, CRM o dati sensibili, il momento giusto per iniziare a pianificare il passaggio non è “tra qualche anno”, ma adesso: anche una semplice roadmap 2025–2026 ti metterà in una posizione di vantaggio rispetto a chi resterà ancorato alle vecchie password fino all’ultimo.

← Torna all'elenco