Cos’è Google Passkey oggi
Passkey è la risposta di Google al problema delle password: un metodo di accesso che usa impronta, volto o blocco schermo al posto della password tradizionale, basato su standard FIDO e WebAuthn, descritto nella pagina ufficiale “Passkey: Simple and Secure Passwordless Sign‑In.” Dal punto di vista tecnico, ogni passkey è una coppia di chiavi crittografiche: la chiave pubblica viene salvata sul server del servizio, mentre la chiave privata resta sul dispositivo dell’utente, custodita in aree sicure e sbloccata solo dopo verifica locale.
Questo modello elimina il “segreto riutilizzabile” tipico delle password: non esiste una stringa da indovinare o rubare e riusare su altri siti, e la chiave privata non lascia mai il dispositivo in chiaro. Quando l’utente accede, il browser controlla il dominio e chiede al dispositivo di firmare una sfida crittografica; se il dominio non coincide con quello registrato, la passkey non viene nemmeno proposta, rendendo di fatto inefficaci la maggior parte degli attacchi di phishing, come spiegato anche nella documentazione per sviluppatori di Google Identity sulle passkey.
Numeri e stato dell’adozione
Nel report diffuso per il World Password Day 2024, Google ha reso noto che le passkey sono state usate per autenticare gli utenti più di 1 miliardo di volte su oltre 400 milioni di account Google, con un uso giornaliero che ha superato quello combinato di SMS OTP e codici da app come metodi di verifica in due passaggi. Considerando che Google protegge circa 2,4 miliardi di account, significa che una fetta importante ma non ancora totalitaria dell’utenza ha già iniziato la transizione verso un modello “senza password”.
Anche fuori dall’ecosistema puro Google, l’adozione cresce: molte app e siti hanno aggiunto “Accedi con passkey” accanto ai tradizionali login, mentre Google e FIDO Alliance promuovono linee guida e best practice tecniche per integrare questo tipo di autenticazione nei propri servizi. Questo, unito alla spinta comunicativa del blog ufficiale (“The beginning of the end of the password”), segnala chiaramente la direzione: nei prossimi anni la password sarà sempre più un fallback e meno il metodo principale.
Novità chiave fino a fine 2025: sync cifrato e multi‑piattaforma
Fino al 2023 le passkey salvate nel Google Password Manager erano soprattutto un’esperienza “Android‑centrica”, con il telefono usato anche per autenticarsi su PC tramite QR. Dal 2024 questa limitazione si è progressivamente ridotta: con l’aggiornamento di settembre 2024, Google ha abilitato la creazione e il salvataggio di passkey nel Password Manager anche da Chrome su Windows, macOS e Linux, con sincronizzazione automatica tra tutti i dispositivi connessi allo stesso account Google, come descritto nel post “Sync passkeys securely across your devices”.
Nel 2025 Google ha aggiunto un tassello importante: il supporto di Google Password Manager con passkey anche su iOS e iPadOS via Chrome, rendendo possibile creare e usare passkey sincronizzate su iPhone e iPad oltre che su Android e desktop, come annunciato nel post “Passkeys on Google Password Manager are now available on iOS”. In pratica, l’utente può creare una passkey dalla pagina g.co/passkeys o dalle impostazioni di sicurezza dell’account e ritrovarla disponibile su smartphone, PC e tablet, a patto che stia usando Chrome/Google Password Manager e abbia abilitato la sincronizzazione.
PIN del Google Password Manager e cifratura end‑to‑end
Per rendere sicura questa sincronizzazione globale, Google ha introdotto un PIN dedicato per il Google Password Manager, oggi documentato nelle pagine di supporto aggiornate al 2025 su come gestire il PIN del Password Manager. Il PIN viene richiesto quando l’utente salva o utilizza passkey e password da nuovi dispositivi e serve a:
- cifrare end‑to‑end il vault del Password Manager, in modo che i dati memorizzati sui server Google siano inutilizzabili senza il PIN;
- verificare l’identità dell’utente quando accede alle credenziali da un device che non è ancora “fidato”;
- offrire un fattore di recupero controllato dall’utente in caso di problemi con i dispositivi principali.
La documentazione tecnica “Security of Passkeys in the Google Password Manager” chiarisce che passkey e password nel Password Manager vengono sempre archiviate in forma cifrata, e che Google non può usarle per autenticarsi al posto dell’utente perché non possiede la chiave necessaria a decifrarle. Se l’utente perde definitivamente il PIN e non ha accesso a nessun dispositivo dove il vault sia sbloccato, può scegliere di resettare il Password Manager, cancellando tutte le passkey e le password salvate: un’operazione drastica, ma coerente con un modello di cifratura forte.
Sicurezza sul dispositivo: biometria, blocco schermo e hardware
Sul lato device, le passkey si appoggiano sempre a un meccanismo di sblocco locale: impronta, riconoscimento del volto o PIN/pattern di blocco, a seconda di piattaforma e hardware. Su Android e ChromeOS, le chiavi private sono gestite da componenti hardware sicuri; su Windows, macOS e iOS si sfruttano tecnologie analoghe (TPM, Secure Enclave, Windows Hello), integrate con i sistemi di login già in uso.
Questo vuol dire che, anche se un attaccante ottenesse accesso fisico temporaneo al dispositivo, non potrebbe semplicemente “esportare” la passkey in chiaro o usarla senza superare la biometria o il PIN. Per i profili più a rischio, Google continua a raccomandare l’uso combinato di passkey e chiavi fisiche FIDO2/Titan tramite l’Advanced Protection Program, che ora può sfruttare le passkey anche come fattore di accesso al programma stesso.
Vantaggi di sicurezza rispetto a password e 2FA tradizionale
Gli update pubblicati tra 2023 e 2025 ribadiscono alcuni punti chiave:
- le passkey sono resistenti al phishing, perché legate al dominio corretto e mai trasmesse come segreto riutilizzabile, come evidenziato nella documentazione developer sulle passkey;
- eliminano i rischi legati a SMS OTP (SIM swap, intercettazioni, malware che legge notifiche) e riducono quelli connessi ai codici da app;
- riducono il carico cognitivo sull’utente, che deve solo sbloccare il dispositivo anziché ricordare e gestire molte password complesse, come sottolineato anche dalle guide pratiche su “How to Use Passkeys With Google Password Manager.”
Google segnala anche che l’uso massivo delle passkey si integra con altre protezioni lato account (controlli sicurezza automatici, avvisi di login sospetti, Cross‑Account Protection), creando un “layer” aggiuntivo in cui molti attacchi basati su credential stuffing o raccolta password diventano irrilevanti. In parallelo, la progressiva dismissione di funzioni come il “Dark Web report” mostra come la strategia di lungo periodo punti a rendere le password sempre meno centrali nel modello di sicurezza complessivo.
Come usare oggi Google Passkey in modo sicuro
Per l’utente finale nel 2025, la configurazione consigliata è:
- visitare la pagina dedicata alle passkey Google g.co/passkeys o la sezione “Come accedi a Google” nelle impostazioni dell’account, dove Google spiega come accedere con una passkey;
- attivare il Google Password Manager con sincronizzazione e impostare un PIN robusto, seguendo la guida ufficiale su come gestire il PIN del Password Manager, verificando che tutti i dispositivi principali abbiano un blocco schermo sicuro;
- abilitare, dove possibile, l’accesso con passkey ai servizi compatibili, usando directory come passkeys.directory per trovare siti e app che supportano il nuovo standard.
Per aziende e PA, i documenti per sviluppatori aggiornati al 2025 mostrano come integrare passkey in app e siti tramite WebAuthn e le API Google Identity, partendo dalla sezione developer “Passkeys” e dalle nuove linee guida UX per l’autenticazione su Android. In una prospettiva di medio termine, l’adozione di passkey riduce la dipendenza da password, SMS OTP e reset via help desk, alzando contemporaneamente l’asticella contro phishing e attacchi mirati: motivo per cui molti addetti ai lavori descrivono il 2025 come l’anno in cui i passkey stanno “finalmente prendendo il sopravvento”.
