Alla scoperta delle passkey: perchè la fine delle password è già iniziata

Le password stanno andando in disuso, le passkey no.
Ogni anno, milioni di credenziali vengono rubate. Perché? Perché le password sono fragili, prevedibili e facili da rubare. Anche con regole complesse (almeno una maiuscola, un simbolo, 12 caratteri), gli utenti continuano a usare “Password123” o a scrivere le credenziali su un post-it.

Le passkey eliminano il problema alla radice. Niente più password da ricordare. Niente più reset. Nessun dato sensibile da trasmettere in rete. Solo una chiave privata salvata sul dispositivo e una chiave pubblica sul server. Quando l’utente vuole accedere, il dispositivo firma una richiesta con la chiave privata e dimostra di essere autorizzato. È un po’ come una stretta di mano crittografica: se hai la chiave giusta, entri. Altrimenti, niente da fare.

Un esempio concreto: apro l’app della banca per utilizzare il mio home banking, mi autentico con Face ID e accedo. Nessuna password, nessun codice via SMS. Solo il mio volto, il mio telefono e la passkey salvata nel portachiavi iCloud. Sicuro. Veloce. Invisibile.

In questo articolo

Le passkey si basano su uno standard aperto: FIDO2/WebAuthn, supportato da aziende come Apple, Google, Microsoft, e integrato in browser e sistemi operativi moderni.

Funzionano così:

• L’utente registra un account → il dispositivo genera una coppia di chiavi crittografiche;
• La chiave pubblica viene salvata nel server del servizio (es. sito web, app);
• La chiave privata resta protetta nel dispositivo (es. chip TPM (Trusted Platform Module-), enclave sicura);
• Per autenticarsi, l’utente usa un metodo biometrico o un PIN locale → il dispositivo firma una sfida (challenge) con la chiave privata → il server la verifica usando la chiave pubblica.

Importante: nessuna password viene mai trasmessa o salvata. Anche se il server viene violato, le chiavi pubbliche rubate non servono a nulla senza la chiave privata, che è bloccata nel dispositivo e protetta da Face ID o impronta.

Le passkey sono anche cross-platform: se usi il portachiavi Apple, puoi accedere da un altro dispositivo Apple. Con un account Google, puoi usare passkey su Android, Chrome e anche Windows. La direzione è chiara: una sola identità digitale, sicura, portatile e passwordless.

La sicurezza è il beneficio più evidente, ma non l’unico.

User experience migliorata

• Nessun campo da compilare
• Nessun codice da copiare
• Autenticazione in meno di 1 secondo
• Nessun rischio di password dimenticate o compromesse

Resistenza al phishing

• Le passkey funzionano solo sul dominio in cui sono state registrate

Un attaccante non può clonare un sito e ingannare l’utente: il browser non attiva nemmeno l’autenticazione.

Meno costi per il supporto IT

• Le aziende riducono ticket per i classici casi “ho dimenticato la password”
• Meno tempo perso in reset e verifica delle credenziali
• Più tempo per concentrarsi sulla postura di sicurezza informatica reale

Caso d’uso aziendale: una compagnia tech sostituisce le password con passkey + MFA per tutti i dipendenti. Risultato? -80% di ticket IT relativi all’accesso, +60% di engagement sulla intranet.

Adottare le passkey in azienda può sembrare un cambiamento radicale, ma in realtà è un processo progressivo, compatibile con le infrastrutture esistenti e altamente scalabile. La chiave è partire con obiettivi chiari, fasi controllate e integrazione strategica con strumenti già in uso, come gli IAM, i provider di Single Sign-On (SSO), e i sistemi di protezione del dato (DLP).

Molti strumenti e piattaforme già utilizzati in ambito aziendale supportano nativamente FIDO2/WebAuthn, lo standard su cui si basano le passkey.

Ecco alcuni esempi:

• Google Workspace → supporta passkey e chiavi di sicurezza FIDO per Gmail, Drive e Admin Console.
• Microsoft 365 / Azure AD → permette l’uso di passkey con Windows Hello e dispositivi biometrici.
• Okta, Ping Identity, Duo Security → offrono integrazioni pronte per FIDO2/WebAuthn.

Prima di iniziare, verifica cosa è già disponibile nella tua infrastruttura. Potresti già avere tutto il necessario senza saperlo.

Non serve attivare subito le passkey per tutta l’azienda. Un approccio graduale riduce i rischi e migliora l’adozione. Puoi procedere in questo modo:

• Scegli un gruppo ad alto valore: team IT, DevOps, cybersecurity, o utenti “early adopter”
• Offri supporto tecnico e guida alla configurazione (es. come utilizzare il password manager di Microsoft
• Raccogli feedback sugli ostacoli e sui vantaggi percepiti

Dopo 2-4 settimane di test, potrai valutare metriche chiave come:

• percentuale di autenticazioni con passkey vs password
• riduzione dei ticket di assistenza per login
• soddisfazione e adozione spontanea

Un IAM è la piattaforma ideale per orchestrare l’autenticazione con passkey. Qui puoi definire:

• ruoli e permessi associati alle identità
• policy di accesso condizionali (es. “consenti solo da device aziendale + passkey”)
• automazione dell’onboarding e offboarding degli utenti (es. disattivazione della passkey in caso di uscita dall’azienda)

Caso d’uso avanzato:
Un dipendente richiede l’accesso a un repository Git protetto, l’archivio virtuale di un progetto. Il sistema IAM verifica:

• Identità autenticata con passkey
• Dispositivo conforme (mac address noto, antivirus attivo)
• Rete aziendale sicura

Risultato: l’accesso viene concesso senza password, senza codice OTP, senza frizioni.

Le passkey diventano ancora più potenti se integrate in una strategia Zero Trust, combinata con:

• DLP → per proteggere i dati in tempo reale;
• SIEM (Security Information and Event Management) e UEBA (User and Entity Behavior Analytics) → per analizzare i comportamenti anomali;
• Conditional Access → per bloccare accessi non autorizzati.

Esempio di policy combinata:
“Permetti il download di dati classificati come ‘confidenziali’ solo se l’utente è autenticato con passkey da un dispositivo conforme, durante l’orario lavorativo, su rete interna.”

In questo caso, la passkey diventa un fattore abilitante, che sblocca operazioni sensibili solo quando tutte le condizioni sono soddisfatte.

Il successo dell’adozione non è solo tecnico, ma anche culturale. Per molti utenti, l’idea di cambiare abitudini può generare resistenza.
Comunica in modo chiaro:

• I benefici personali (niente password da ricordare, login più veloce)
• L’aumento della propria sicurezza (impossibile essere vittima di phishing o furto credenziali)
• Il supporto disponibile (guide, help desk, demo video)

Crea una campagna interna coinvolgente, con supporto visivo, training interattivi e badge per i “passkey champion”, introducendo un approccio di gamification.

Un’esperienza utente positiva porta all’adozione spontanea, che in campo IT è molto più efficace delle forzature.

Le passkey sono già supportate da Microsoft, Apple, Google, Microsoft, Amazon, PayPal, eBay, TikTok e molte altre piattaforme. La direzione dell’intera industria è verso un mondo senza password, più sicuro e più umano:

• entro il 2026, Gartner prevede che oltre il 60% delle grandi aziende userà passwordless authentication
• i browser principali (Safari, Chrome, Edge) sono già pronti
• le principali normative sulla sicurezza (NIS2, ISO 27001, PSD2) incoraggiano metodi strong authentication che superano le password

Se stai progettando o migliorando la tua strategia Zero Trust, integrare le passkey è un’opportunità per proteggere dati, identità e accessi nel modo più sicuro e fluido possibile.

Vuoi saperne di più sulla gestione passwordless?

BeeCyber offre servizi di cyber security completi e personalizzati per proteggere le aziende da minacce informatiche, anche tramite strumenti AI. BeeCyber fornisce una valutazione approfondita dei rischi, gestione delle identità, sistemi di protezione dei dati, monitoraggio continuo delle minacce e risposte rapide agli incident.
I servizi includono penetration test, vulnerability assessment e consulenza strategica per garantire conformità alle normative come NIS2, GDPR, ISO 27001 e altri requisiti specifici del settore.

Le soluzioni su misura di BeeCyber, insieme alla formazione del personale, aiutano a mantenere i sistemi aziendali sicuri e operativi.

Scopri come i servizi BeeCyber possono aiutarti a gestire le vulnerabilità in modo intelligente e ricorsivo.

Una mail al mese sui temi più caldi della cybersecurity. Iscriviti ora!
Compila il form per iscriverti alle nostre Cybernews