Ogni volta che accediamo a un account o sblocchiamo un dispositivo, dobbiamo dimostrare di essere autorizzati ad accedervi. Storicamente, questa prova ha assunto la forma di una password: una stringa segreta che dobbiamo memorizzare o conservare in un gestore di password.
Una Chiave di accesso si differenzia da una password perché collega l’accesso a qualcosa che possiedi fisicamente — un token crittografico archiviato sul tuo telefono, laptop o token di sicurezza — insieme a un fattore biometrico, come un’impronta digitale o una scansione del volto.
Un modo comune per descrivere la differenza è:
- Password = qualcosa che sai
- Chiave di accesso = qualcosa che hai + chi sei
Sebbene entrambi i metodi ti consentano di accedere, il modo in cui raggiungono questo obiettivo è diverso e può influire in modo significativo sulla sicurezza e sull’usabilità.
Cos’è una Chiave di accesso?
Una Chiave di accesso è come una password che risiede sul tuo dispositivo e che può essere verificata dagli account a cui stai accedendo tramite la crittografia. Le Chiavi di accesso si basano sullo standard FIDO2 (definito dalla FIDO Alliance(nuova finestra)) e sull’API WebAuthn.
Ecco come funziona:
Quando viene creata una Chiave di accesso, il tuo gestore di password genera una coppia di chiavi crittografiche: una chiave pubblica e una chiave privata.
- La chiave pubblica viene condivisa con il servizio presso cui ti stai registrando.
- La chiave privata rimane nel tuo gestore di password o dispositivo e non lo lascia mai.
Durante un tentativo di login, il servizio emette una richiesta casuale. Il tuo dispositivo usa la chiave privata sul tuo dispositivo per firmare questa richiesta, producendo una risposta che solo la chiave privata corrispondente potrebbe generare. Il servizio verifica quindi la firma con la chiave pubblica archiviata in precedenza, confermando che sei il legittimo titolare dell’account.
Poiché la chiave privata non lascia mai il tuo dispositivo, un sito di phishing non può indurti a consegnarla, rendendo le Chiavi di accesso intrinsecamente resistenti al phishing.
Scopri di più sulle Chiavi di accesso
Confronto della sicurezza: Chiave di accesso vs password
Che tu usi una password o una Chiave di accesso dipende da diversi fattori. Non tutti i siti web offrono le Chiavi di accesso come opzione. Ma per i siti web che lo fanno, ci sono diversi motivi per prendere in considerazione il passaggio.
Le Chiavi di accesso sono considerate più sicure delle password perché la chiave segreta non lascia mai il tuo dispositivo. Anche se qualcuno ti inganna con un sito falso, intercetta il traffico di rete o tenta un attacco di forza bruta, non può ottenere la chiave privata: viene conservata all’interno del tuo telefono, Computer o token di sicurezza. Finché proteggi il dispositivo con un PIN, un’impronta digitale o un’altra forma di autenticazione a due fattori (2FA) e disponi di un metodo di recupero affidabile, una Chiave di accesso ti offre una configurazione di sicurezza più solida e più resistente al phishing rispetto a una normale password.
| Funzionalità | Chiavi di accesso | Password |
| Metodo di autenticazione | Crittografia a chiave pubblica (chiave privata archiviata sul dispositivo) | Stringa segreta memorizzata dall’Utente |
| Resistenza al phishing | Alta | Bassa |
| Opzioni di recupero | Backup del dispositivo, procedura di recupero dell’account | Reimpostazione tramite email, domande di sicurezza |
| Esperienza Utente | Biometria o PIN | Digitazione o riempimento automatico |
| Compatibilità | In crescita | Supporto universale |
| Vulnerabilità al riutilizzo | Sempre unica per sito | Problema comune |
Usabilità ed esperienza Utente della Chiave di accesso
Oltre ai vantaggi in termini di sicurezza offerti dall’uso di una Chiave di accesso, ci sono anche altri benefici:
- Le Chiavi di accesso rendono più rapido l’accesso perché il flusso di autenticazione si riduce a un solo tocco o sguardo, eliminando l’attrito dell’inserimento manuale delle password o della reimpostazione delle password dimenticate.
- Molti gestori di password possono sincronizzare in modo sicuro le Chiavi di accesso tra i tuoi dispositivi. Di conseguenza, una Chiave di accesso creata su uno smartphone può essere usata su un laptop, tablet o altro telefono senza richiedere una nuova registrazione. Proton Pass funziona su qualsiasi piattaforma o dispositivo, quindi puoi usare le Chiavi di accesso su qualsiasi sito web che le supporti.
Svantaggi e casi limite delle Chiavi di accesso
Sebbene le Chiavi di accesso offrano una sicurezza elevata e un’esperienza di login senza attriti, non sono una soluzione miracolosa. Ci sono ancora alcune situazioni in cui usare una Chiave di accesso può presentare delle difficoltà.
Smarrimento e recupero del dispositivo
Se il dispositivo su cui è archiviata la tua Chiave di accesso viene smarrito, rubato o danneggiato, dovrai fare affidamento sui meccanismi di backup per recuperare l’accesso. Recuperare una Chiave di accesso richiede spesso un dispositivo secondario o una Frase di recupero, quindi se non disponi di una procedura di recupero ben progettata, rischi di perdere l’accesso ai tuoi account.
Lacune nell’adozione
Alcuni siti web e applicazioni non hanno implementato gli standard WebAuthn/FIDO2 che rendono possibili le Chiavi di accesso. Anche tra quelli che lo fanno, il supporto delle Chiavi di accesso potrebbe essere limitato a determinati ecosistemi o sistemi operativi.
Limitazioni dell’hardware meno recente
I dispositivi meno recenti, come smartphone più vecchi, laptop senza sensori biometrici o browser privi di supporto WebAuthn, non possono generare o archiviare Chiavi di accesso.
Quando ho ancora bisogno di una password?
Oltre ad avere una password configurata come soluzione di riserva, ci sono alcune situazioni in cui una password tradizionale è necessaria come metodo di accesso principale.
1. Siti senza supporto per Chiave di accesso
Finché l’adozione delle Chiavi di accesso non sarà diffusa, potresti ancora dover fare affidamento sulle password per alcuni siti. In questo caso, puoi configurare metodi 2FA come un OTP per aumentare la sicurezza.
2. Scenari con Computer pubblici o condivisi
Se non stai usando il tuo dispositivo, inserire una password (idealmente combinata con 2FA) consente un accesso temporaneo senza lasciare credenziali permanenti.
3. Policy organizzative e requisiti di conformità
Le normative aziendali, inclusi gli standard governativi o finanziari, possono richiedere configurazioni multifattore che includano ancora una componente password, oppure imporre la rotazione periodica delle password a fini di audit. Inoltre, le soluzioni aziendali di single sign-on (SSO) a volte integrano le Chiavi di accesso solo come fattore opzionale, mentre le password restano la credenziale principale.
Come adottare le Chiavi di accesso
Passare alle Chiavi di accesso è relativamente semplice.
- Attiva il supporto per Chiave di accesso nel tuo sistema operativo
- Scarica un gestore di password
- Scegli un gestore di password che supporti l’archiviazione delle Chiavi di accesso, come Proton Pass.
- Aggiungi le Chiavi di accesso al tuo gestore di password
- Importa le Chiavi di accesso esistenti o creane di nuove direttamente dall’app.
- Registra le Chiavi di accesso sui servizi supportati
- Quando ti registri o accedi a un sito che offre “Accedi con Chiave di accesso”, seleziona questa opzione.
- Configura un metodo di recupero
- Attiva un dispositivo secondario per archiviare una copia della Chiave di accesso e annota eventuali Frase di recupero fornite dal servizio.
Domande frequenti
Posso usare una Chiave di accesso se non ho un gestore di password?
Sì, puoi. La maggior parte dei sistemi operativi moderni archivia le Chiavi di accesso localmente (iCloud Keychain sui dispositivi Apple, Google Password Manager su Android, Windows Hello su Windows). Un gestore di password dedicato può semplificare la sincronizzazione tra dispositivi e fornire un ulteriore livello di backup, ma non è necessario per usare le Chiavi di accesso.
Posso usare le Chiavi di accesso su dispositivi meno recenti?
Le Chiavi di accesso richiedono che il sistema operativo e il browser supportino gli standard WebAuthn/FIDO2. Le piattaforme moderne (iOS 15+, Android 14+, versioni recenti di macOS, Windows 10 1903+ e Chrome/Edge/Firefox/Safari aggiornati) funzionano subito. I telefoni meno recenti, i browser legacy o i dispositivi precedenti a iOS 15/Android 13 non dispongono di questo supporto, quindi non potresti usare una Chiave di accesso su quei dispositivi.
Qual è la differenza tra una Chiave di accesso e un token fisico?
Una Chiave di accesso è una credenziale archiviata su un dispositivo o in un gestore di password e sincronizzata in modo sicuro tra i tuoi dispositivi. Un token fisico (per esempio una YubiKey) è una chiave hardware autonoma che devi inserire nel tuo dispositivo. Un token fisico non archivia la chiave privata sul dispositivo host, offrendo così isolamento, ma richiede di portare con te il token e gestire i backup. Entrambe le opzioni forniscono un’autenticazione senza password e resistente al phishing, ma le Chiavi di accesso danno priorità alla comodità e alla sincronizzazione, mentre i token fisici danno priorità all’isolamento hardware.
Posso usare una Chiave di accesso sul mio PC Windows?
Sì, le versioni moderne di Windows 10/11 supportano le Chiavi di accesso tramite Windows Hello. Dopo aver attivato “Accesso senza password” nelle impostazioni, puoi registrarti e autenticarti con un’impronta digitale, il riconoscimento facciale o un PIN che sblocca la chiave privata archiviata nel trusted platform module (TPM). Un TPM è un piccolo chip resistente alle manomissioni integrato nella maggior parte dei PC moderni, laptop e alcuni tablet. Il suo scopo è fornire una radice hardware di attendibilità per operazioni critiche per la sicurezza.
Cosa succede se perdo il telefono?
Se il tuo telefono contiene l’unica copia di una Chiave di accesso, avrai bisogno di un metodo di backup preconfigurato per recuperare l’accesso. Di solito si tratta di un altro dispositivo, di un gestore di password o di una Frase di recupero fornita dal servizio. Senza un backup, dovrai seguire la procedura di recupero dell’account del servizio.
