← Tutti gli articoli

Passkeys nel 2026: possiamo davvero mandare in pensione la password?

17 June 20262 min di lettura

Sincronizzati tra dispositivi, spinti da Apple, Google e Microsoft. Le passkey sono pronte per un login serio? Cosa abbiamo imparato mettendole in produzione.

Le passkey sono la promessa di un web senza password: niente più credenziali da ricordare, niente phishing, niente database di hash da proteggere. A metà 2026 la spinta di Apple, Google e Microsoft le ha rese mainstream. Ma "mainstream" e "pronte per il tuo prodotto" non sono la stessa cosa. Ecco cosa abbiamo imparato mettendole davvero in produzione.

Cos'è cambiato rispetto a due anni fa

Il punto di svolta è stata la sincronizzazione. Le prime passkey erano legate al singolo dispositivo: perso il telefono, perso l'accesso. Oggi le passkey si sincronizzano nel portachiavi del sistema operativo (iCloud Keychain, Google Password Manager, Windows Hello) e si propagano su tutti i dispositivi dell'utente. È questo che le ha rese usabili dal grande pubblico.

Sul piano tecnico non è cambiato molto: sempre WebAuthn, sempre coppia di chiavi pubblica/privata, la privata non lascia mai il dispositivo o il portachiavi cifrato. Quello che è maturato è l'esperienza utente e la copertura delle piattaforme.

Perché sono meglio della password

  • Immuni al phishing: la chiave è legata all'origine del sito. Un dominio sosia non può usarla. Questo da solo elimina la classe di attacco più redditizia del web.
  • Niente segreti condivisi da rubare: il server conserva solo la chiave pubblica. Un data breach non espone credenziali riutilizzabili.
  • Niente credential stuffing: senza password riusate, l'attacco che colpisce migliaia di account con liste rubate semplicemente non funziona.

Dove fa ancora male

Account recovery

È il problema irrisolto. Se l'utente perde l'accesso a tutto l'ecosistema (cambio di piattaforma, account cloud compromesso), serve un percorso di recupero. E ogni percorso di recupero è, per definizione, l'anello debole: spesso una password o un magic link via email. La catena è forte quanto il recovery.

Utenti su dispositivi condivisi o aziendali

Sul PC condiviso dell'ufficio, o su ambienti dove il portachiavi non sincronizza, la passkey diventa scomoda. Il flusso "usa il telefono per accedere sul desktop" via QR funziona ma aggiunge attrito.

Il divario di comprensione

Molti utenti non hanno un modello mentale delle passkey. "Dov'è la mia password?" resta una domanda del supporto. La UX del login deve spiegare, non dare per scontato.

Come le adottiamo nei progetti

Non "passkey o niente". Le offriamo come metodo primario, con un fallback robusto. Nuovi progetti B2C: passkey come opzione di primo piano, email + magic link come recovery. Progetti B2B con SSO: le passkey si affiancano bene al flusso aziendale, ma l'IdP resta la fonte di verità. In nessun caso togliamo del tutto la password finché il recovery non è a prova di utente distratto.

Verdetto

Nel 2026 le passkey sono pronte per essere il metodo di login primario, non ancora l'unico. Riducono drasticamente phishing e credential stuffing, e l'esperienza è finalmente buona. Ma il tema account recovery non è risolto: chi le adotta bene le tratta come il percorso principale, tenendo un fallback progettato con la stessa cura. La password non è morta, è retrocessa a piano B.