Passkey: cosa sono e come usarle nei principali servizi

Se ti sei chiesto “passkey cos’è e perché tutti ne parlano?”, sei nel posto giusto. Le passkey sono il passo più concreto verso un web senza password: niente più codici via SMS, niente più password riutilizzate, niente più phishing. In questa guida spieghiamo in modo chiaro cos’è una passkey, come funziona, quali vantaggi offre e come attivarla sui servizi più usati (Google, Apple, Microsoft, Amazon, PayPal, WhatsApp, eBay, GitHub). Alla fine troverai anche consigli pratici per adottarle in sicurezza, compresi i gestori di passkey più affidabili.

Una passkey è una credenziale basata su crittografia a chiave pubblica/privata: il sito conserva la chiave pubblica, mentre la chiave privata resta sul tuo dispositivo, protetta da impronta, volto o PIN. Quando accedi, il tuo dispositivo “firma” la richiesta e dimostra di essere autorizzato — senza mai condividere segreti riutilizzabili online. Risultato: accessi più sicuri e immuni al phishing. Le passkey nascono dagli standard FIDO2/WebAuthn sostenuti da FIDO Alliance, W3C e dai principali vendor (Google, Apple, Microsoft).

In breve: se cerchi “passkey cos’è” la risposta è la versione moderna, semplice e sicura dell’autenticazione, dove il “qualcosa che sai” (password) viene sostituito dal “qualcosa che hai” (il tuo dispositivo) più “qualcosa che sei” (biometria), tutto in un unico gesto. Anche testate generaliste hanno spiegato come le passkey uniscano sicurezza e usabilità molto meglio delle password + 2FA tradizionali.

• Resistenti al phishing: non c’è un segreto da rubare o digitare; le chiavi funzionano solo sul dominio corretto.

• Niente riuso o leak di password: il server non archivia la chiave privata, quindi una violazione non espone le tue “password”.

• Autenticazione a prova di utente: sblocchi come già fai lo smartphone o il PC (impronta/volto/PIN).

Anche fonti non tecniche sottolineano che le passkey sono più semplici e più sicure delle password, riducendo attacchi come phishing e brute force.

Il supporto è ormai integrato in iOS, Android, macOS, Windows e nei principali browser (Chrome, Safari, Edge, Firefox). Su Windows, per esempio, le passkey si appoggiano a Windows Hello per volto, impronta o PIN.

Se ti stai domandando di nuovo “passkey cos’è in pratica?”, pensa a un “pass” che il tuo dispositivo presenta automaticamente quando il sito te lo chiede, senza che tu debba ricordare nulla.

Di seguito trovi i passaggi essenziali (che possono variare leggermente nel tempo o tra piattaforme). Se non vedi l’opzione, aggiorna app/browser e riprova.

Google Account

1. Vai nelle Opzioni di accesso del tuo account Google e scegli Passkey.

2. Seleziona Crea una passkey e segui le istruzioni (impronta/volto/PIN).
   Puoi anche aggiungere una chiave di sicurezza FIDO2 esterna come passkey.

Apple (iPhone, iPad, Mac) e iCloud Keychain

1. Assicurati che iCloud Passwords & Keychain sia attivo per sincronizzare passkey e password tra i tuoi dispositivi Apple.

2. Quando un sito/app supporta le passkey, scegli Continua con Face ID/Touch ID e salva la passkey.
   iCloud Keychain mantiene passkey e password allineate in modo cifrato su tutti i device Apple collegati.

Microsoft Account (Windows 10/11)

1. In Impostazioni > Account > Opzioni di accesso, configura Windows Hello.

2. Nelle impostazioni del tuo account Microsoft, aggiungi una passkey e usa Hello per autenticarti.

Amazon

1. In Il mio account > Login e sicurezza, scegli Imposta accanto a Passkey.

2. Segui la procedura guidata per creare la passkey con Face ID/Touch ID/Windows Hello.

PayPal

1. Accedi all’help PayPal e apri la pagina Passkey Creation/Management.

2. Crea o gestisci le tue passkey seguendo le istruzioni a schermo.

WhatsApp (iOS e Android)

• iOS: in Impostazioni > Account > Passkey, tocca Crea una passkey.

• Android: supporto disponibile; segui il percorso analogo nelle impostazioni dell’account.
  Meta ha reso disponibile la funzione globalmente su iOS nel 2024.

eBay

1. Vai su Il mio eBay > Account > Sign-in and security > Passkeys.

2. Tocca Turn on/Add a passkey e completa con Face/Touch ID o PIN.

GitHub

1. Settings > Password and authentication > Passkeys > Add a passkey.

2. In seguito potrai usare Sign in with a passkey su github.com/login.

👉 Nota: molti altri servizi hanno già attivato o stanno introducendo le passkey. L’adozione è in rapido aumento ed è destinata a crescere ancora nei prossimi mesi.

Le passkey create su un dispositivo possono essere sincronizzate tra i tuoi device tramite gestori integrati (iCloud Keychain su Apple, Google Password Manager su Android/Chrome) o gestori di terze parti. Nel mondo Apple, per esempio, iCloud Keychain sincronizza in modo cifrato passkey, password e altri dati sensibili tra i dispositivi autorizzati.

Se ti chiedi ancora “passkey cos’è rispetto a una password nel portachiavi?”, la differenza è che la passkey non viene mai “inviata”: il sito verifica una firma crittografica valida solo per quel dominio.

Oltre ai gestori integrati dei sistemi operativi, puoi usare password manager che supportano passkey per avere un archivio unico multipiattaforma (utile se combini device Apple, Windows, Android, Linux):

• 1Password: salva e usa passkey su web e mobile, con compilazione semplificata.

• Dashlane: salva, sincronizza e protegge le passkey in un enclave cloud con confidential computing.

• Bitwarden: consente di salvare/auto-compilare passkey e supporta l’accesso con passkey al proprio account.

Questi strumenti rispondono a un dubbio frequente: “passkey cos’è se la tengo nel password manager?” È sempre una coppia di chiavi; il manager ti aiuta solo a portarla con te tra browser e dispositivi diversi, chiedendoti la biometria o il PIN del device quando serve.

• Più dispositivi, meno rischio: crea passkey su almeno due device (es. telefono e laptop).

• Aggiungi una chiave di sicurezza FIDO2 come “passkey portatile” di riserva.

• Conserva metodi di recupero (email/numero/backup codes) dove previsti.

• Usa un gestore che sincronizza in modo sicuro per ridurre l’impatto della perdita.

1. Parti dagli account critici (email principale, store, pagamenti).

2. Aggiorna sistemi e browser: il supporto è nativo e migliora di release in release.

3. Mantieni 2FA dove non c’è passkey: non tutto il web è già pronto.

4. Evita duplicati confusi: scegli un solo gestore predefinito per le passkey sullo stesso dispositivo (es. iCloud oppure 1Password), così la finestra di scelta non si sovrappone.

5. Controlla le tue passkey periodicamente nelle impostazioni di account e gestore.

Ora che hai chiaro passkey cos’è, i vantaggi di sicurezza e usabilità, e come attivarla sui servizi più diffusi, puoi iniziare a liberarti dalle password. La strategia migliore è procedere per priorità: email principale, account finanziari, marketplace e strumenti di lavoro. Abituati a sbloccare per accedere — come fai già sul telefono — e goditi un web più sicuro e meno stressante.