Mentre la password è un segreto condiviso che deve essere ricordato dall’utente e archiviato dai server, la passkey sfrutta un meccanismo di coppie di chiavi crittografiche: una pubblica, conservata dal servizio, e una privata, custodita sul dispositivo dell’utente e sbloccata solo tramite impronta, riconoscimento facciale o PIN locale. In questo modello non viaggia più alcun segreto sulla rete e diventa praticamente impossibile per un attaccante sfruttare un database compromesso, perché non esiste alcuna password da rubare o riutilizzare.
Nel 2025 le passkey possono essere gestite in tre modalità complementari. Esistono le passkey locali, memorizzate sul singolo dispositivo e utilizzabili solo con lo sblocco biometrico o un codice locale. Ci sono poi le passkey multi-dispositivo, sincronizzate tramite i servizi cloud dei grandi ecosistemi, come iCloud, Google Password Manager o l’account Microsoft, che consentono di mantenere le credenziali disponibili su smartphone, computer e tablet in maniera trasparente e sicura. Infine, per chi cerca un ulteriore livello di sicurezza fisica, sono disponibili le passkey custodite su chiavi hardware come le YubiKey, che permettono di avere un fattore portatile indipendente.
Con le passkey l’accesso a un servizio non richiede più la digitazione di una stringa complessa né l’inserimento di codici temporanei inviati via SMS. Basta un gesto biometrico per firmare digitalmente la richiesta di accesso, con il risultato che il phishing perde efficacia, i tentativi di credential stuffing diventano inutili e le procedure di login risultano più veloci e affidabili. Google ha dichiarato che le passkey vengono ormai utilizzate quotidianamente più dei sistemi di verifica in due passaggi tradizionali, come gli SMS o le app di autenticazione, segno che la riduzione delle frizioni porta a un aumento reale dell’adozione.
Come si attivano le passkey sui principali ecosistemi
Chi possiede un iPhone, un iPad o un Mac può creare e salvare passkey all’interno di iCloud Portachiavi, con sincronizzazione automatica su tutti i dispositivi collegati all’account. La procedura è immediata: al momento della registrazione su un sito compatibile, Safari propone di generare una passkey, l’utente conferma con Face ID o Touch ID e la credenziale viene archiviata nel cloud. Nel 2025 Apple ha reso possibile anche la condivisione sicura di passkey con i familiari o con contatti fidati e ha introdotto strumenti di importazione ed esportazione protetta, così da agevolare la migrazione da altri gestori.
Sul fronte Android e Chrome, il Google Password Manager centralizza la creazione e la conservazione delle passkey. Una volta attivate, le credenziali vengono rese disponibili su tutti i dispositivi associati allo stesso account Google, compresi computer Windows, macOS e Linux. Questo rende più semplice abbandonare le password tradizionali, perché non è più necessario preoccuparsi di quale dispositivo si stia utilizzando: basta essere loggati con lo stesso profilo per ritrovare tutte le passkey pronte all’uso.
Microsoft ha scelto di integrare in modo nativo la gestione delle passkey in Windows 11 attraverso Windows Hello. Gli utenti possono ora creare, visualizzare e rimuovere passkey direttamente dal sistema operativo, utilizzandole nei browser e nelle app compatibili. L’accesso avviene tramite impronta digitale, riconoscimento facciale o PIN, e nel 2025 l’azienda ha aggiornato le API per permettere anche ai gestori terzi come 1Password o Dashlane di interfacciarsi con il sistema operativo, offrendo una maggiore libertà di scelta.
I dati sull’adozione nel 2025
Secondo i dati diffusi dalla FIDO Alliance in occasione del World Passkey Day 2025, il 74% dei consumatori ha già sentito parlare delle passkey e il 69% di chi le conosce le ha attivate almeno su un servizio. Un dato ancora più importante riguarda il comportamento degli utenti: il 38% dichiara di abilitarle sistematicamente ogni volta che ne ha l’occasione. Questi numeri dimostrano che la curva di adozione si sta muovendo in maniera più rapida di quanto accaduto con altre tecnologie di autenticazione, come la verifica a due fattori tramite SMS.
Google ha reso noto che le passkey sono state utilizzate oltre un miliardo di volte da più di 400 milioni di account, superando nell’uso quotidiano i metodi di autenticazione a due fattori più datati. 1Password ha comunicato che a fine 2024 erano state salvate oltre 4 milioni di passkey nei suoi sistemi, con un ritmo di crescita che si è accelerato nel 2025. Dashlane ha parlato di un incremento del 400% nell’ultimo anno, con un utente attivo su cinque che ha già almeno una passkey nel proprio account.
Oltre ai numeri degli utenti, colpisce l’infrastruttura già predisposta: la FIDO Alliance ha stimato che nel 2025 oltre 15 miliardi di account siano tecnicamente pronti per supportare l’accesso con passkey. Questo significa che il passaggio dalle password tradizionali è soprattutto una questione di consapevolezza e di esperienza utente, perché i servizi e i siti hanno già implementato lo standard. Non è un caso che quasi la metà dei cento siti più popolari al mondo abbia integrato questa modalità di accesso, creando le condizioni per un’adozione di massa nei prossimi due anni.
