Passkey (FIDO2) per Windows e browser: come passare oltre le password senza perdere l’accesso
Le passkey sono ormai una sostituzione concreta delle password nell’uso quotidiano sui PC Windows. Riduccono il rischio di phishing perché non esiste una “stringa segreta” da rubare, e l’accesso è legato a un dispositivo affidabile più lo sblocco dello schermo (PIN, impronta o riconoscimento del volto). La parte delicata nel 2026 non è creare le passkey: è migrare in modo sicuro, decidere dove vengono conservate, impostare il recupero prima che serva e mantenere l’accesso ai servizi più datati che insistono ancora sulle password.
Come funzionano le passkey nella pratica (e perché bloccano il phishing)
Una passkey è una credenziale FIDO2/WebAuthn basata sulla crittografia a chiave pubblica. Quando ne crei una per un sito o un’app specifici, il dispositivo genera una coppia di chiavi: una chiave privata che rimane protetta sul tuo lato e una chiave pubblica che il servizio memorizza. Durante l’accesso, il servizio invia una “sfida” e il tuo dispositivo la firma con la chiave privata, così il servizio può verificare l’identità senza che tu debba digitare una password.
Ecco perché le passkey sono così resistenti al phishing. Un sito falso non può usare la tua passkey per entrare in quello reale, perché WebAuthn lega il login al dominio autentico. Anche se qualcuno ti inganna facendoti aprire una pagina somigliante, la procedura non si completa su un’origine sbagliata e non c’è alcuna password da consegnare.
Su Windows, l’accesso con passkey passa spesso da Windows Hello. In pratica il gesto che fai per entrare è lo stesso che usi per sbloccare il PC: PIN di Windows Hello, oppure biometria se configurata. Su Windows 11, avere Windows Hello impostato (almeno un PIN) è quasi un requisito per usare le passkey in modo davvero fluido.
Windows Hello, FIDO2 e dove vive davvero la chiave privata
In una configurazione tipica di Windows 11, Windows Hello svolge il ruolo di verifica dell’utente per le passkey. Se hai impostato volto o impronta, vedrai quel prompt; altrimenti Windows passa al PIN di Hello. È un comportamento normale ed è anche il motivo per cui la qualità del PIN conta: va trattato come un controllo di sicurezza, non come un semplice codice di comodità.
Nel 2026 esistono due “case” principali per le passkey. La prima è l’autenticatore integrato nel dispositivo (PC o telefono), protetto dall’hardware di sicurezza e dal metodo di sblocco. La seconda è un archivio sincronizzato (per esempio un deposito di credenziali legato a un account del fornitore), che può replicare la passkey su altri dispositivi affidabili dopo l’autenticazione. Il compromesso è semplice: l’archiviazione solo su dispositivo è più contenuta; la sincronizzazione è più comoda ma dipende da una protezione robusta dell’account e da impostazioni di recupero ben fatte.
Infine ci sono le chiavi di sicurezza hardware (spesso chiamate “chiavi FIDO2”). Possono memorizzare passkey e sono ottime come riserva, perché non dipendono da un singolo telefono. Per molte persone la combinazione migliore è: passkey sui dispositivi principali per la comodità, più una chiave hardware conservata in modo sicuro come opzione “posso ancora entrare”.
Passare dalle password in 20–30 minuti (senza rompere gli account più vecchi)
Inizia dagli account più importanti: email, il tuo gestore di password (se lo usi), account Apple/Google/Microsoft e i servizi bancari dove supportati. Sono le tue “chiavi radice” perché controllano recupero e accesso a tutto il resto. Prima di aggiungere passkey, verifica che ogni account abbia opzioni di recupero aggiornate: un secondo fattore, email di recupero, numero di recupero e (se disponibili) codici di recupero conservati offline.
Poi abilita le passkey in almeno due posti: (1) il dispositivo che usi ogni giorno (telefono o PC principale) e (2) un percorso di backup. Il backup può essere un altro dispositivo che possiedi già (tablet, secondo portatile) oppure una chiave di sicurezza hardware. L’obiettivo non è essere “furbi”: è evitare un singolo punto di fallimento.
Infine, non “cancellare tutte le password” il primo giorno. Molti servizi mantengono ancora la password come fallback per app legacy, dispositivi più vecchi o flussi di recupero. Una migrazione sensata è: aggiungi una passkey, testala su un secondo dispositivo/browser, conferma che le opzioni di recupero funzionino, poi decidi se tenere la password come accesso d’emergenza o rimuoverla quando il servizio supporta chiaramente un funzionamento totalmente senza password.
Cosa fare con i servizi che non supportano ancora le passkey
Per i servizi più datati, lo schema più sicuro è mantenere una password forte e unica generata da un password manager e aggiungere un secondo fattore (app TOTP, approvazione push o chiave hardware) se disponibile. Le passkey sono eccellenti, ma non dovresti indebolire la sicurezza altrove solo perché alcuni accessi restano basati su password.
Se un servizio offre “Accedi con Microsoft/Google/Apple”, valuta questa opzione come ponte. Puoi proteggere l’account di identità con passkey e ridurre il numero di password separate da gestire. Questo approccio semplifica anche il recupero perché centralizzi l’accesso su pochi account ben protetti.
Dove un servizio impone il recupero via SMS, consideralo un rischio e compensa: proteggi il tuo numero con il gestore telefonico quando possibile, attiva gli avvisi di accesso e conserva i codici di recupero offline. L’obiettivo è rendere meno sfruttabile l’anello più debole finché non arriva un supporto passkey completo.
Pianificare il recupero: telefono perso, PC sostituito e dispositivi condivisi o aziendali
La storia più comune di blocco dell’account è prevedibile: qualcuno imposta passkey sul telefono, perde il telefono e scopre che il recupero non era mai stato completato. Evitalo pianificando in anticipo lo scenario “perdo un dispositivo”. Ti servono almeno due strade indipendenti per rientrare: un altro dispositivo affidabile già connesso oppure una chiave di sicurezza hardware, più opzioni di recupero dell’account che hai verificato di recente.
Se le tue passkey sono sincronizzate tramite un account del fornitore, il recupero dipende dalla sicurezza di quell’account. Questo significa protezioni di accesso solide (passkey + verifiche aggiuntive dove offerte) e una gestione attenta dei canali di recupero. Se l’email di recupero è debole o il numero di telefono è facile da dirottare, le passkey sincronizzate diventano più attaccabili in modo indiretto.
Su PC condivisi e macchine di lavoro gestite, le passkey richiedono più attenzione. In genere non dovresti conservare passkey personali su un profilo Windows condiviso. Per l’ambiente lavoro, segui le policy: molti team richiedono Windows Hello for Business, conformità del dispositivo o specifici provider di credenziali. Se non è chiaro, separa gli accessi personali da quelli aziendali e preferisci chiavi hardware quando serve un accesso portabile e compatibile con le policy.
Checklist PC di casa vs PC di lavoro (per non restare bloccato)
Per un PC di casa: configura Windows Hello (PIN più biometria se disponibile), assicurati che il dispositivo sia cifrato (BitLocker sulle edizioni supportate) e mantieni aggiornate le opzioni di recupero del tuo account Microsoft/Google/Apple. Aggiungi almeno una passkey per un account principale, testala in due browser e verifica di poter accedere da un secondo dispositivo.
Per un PC di lavoro: usa solo browser e tipi di account approvati e verifica se sono consentiti provider di credenziali di terze parti. Se la tua organizzazione usa accesso condizionale o richiede chiavi di sicurezza, registra presto una chiave hardware e tienila disponibile. Documenta il percorso di recupero nel processo sicuro del team (non in un documento pubblico e non in una chat).
Per entrambi: mantieni un metodo di backup offline. Il più semplice è una chiave di sicurezza hardware conservata con cura più i codici di recupero stampati o salvati offline per gli account “radice”. Può sembrare antiquato, ma è esattamente ciò che ti salva quando perdi il telefono, ti rubano il portatile o sei in viaggio e all’improvviso non riesci a superare un passaggio di verifica del dispositivo.
