Le passkey sono la promessa di un web senza password: niente più credenziali da ricordare, niente phishing, niente database di hash da proteggere. A metà 2026 la spinta di Apple, Google e Microsoft le ha rese mainstream. Ma "mainstream" e "pronte per il tuo prodotto" non sono la stessa cosa. Ecco cosa abbiamo imparato mettendole davvero in produzione.
Cos'è cambiato rispetto a due anni fa
Il punto di svolta è stata la sincronizzazione. Le prime passkey erano legate al singolo dispositivo: perso il telefono, perso l'accesso. Oggi le passkey si sincronizzano nel portachiavi del sistema operativo (iCloud Keychain, Google Password Manager, Windows Hello) e si propagano su tutti i dispositivi dell'utente. È questo che le ha rese usabili dal grande pubblico.
Sul piano tecnico non è cambiato molto: sempre WebAuthn, sempre coppia di chiavi pubblica/privata, la privata non lascia mai il dispositivo o il portachiavi cifrato. Quello che è maturato è l'esperienza utente e la copertura delle piattaforme.
Perché sono meglio della password
- Immuni al phishing: la chiave è legata all'origine del sito. Un dominio sosia non può usarla. Questo da solo elimina la classe di attacco più redditizia del web.
- Niente segreti condivisi da rubare: il server conserva solo la chiave pubblica. Un data breach non espone credenziali riutilizzabili.
- Niente credential stuffing: senza password riusate, l'attacco che colpisce migliaia di account con liste rubate semplicemente non funziona.
Dove fa ancora male
Account recovery
È il problema irrisolto. Se l'utente perde l'accesso a tutto l'ecosistema (cambio di piattaforma, account cloud compromesso), serve un percorso di recupero. E ogni percorso di recupero è, per definizione, l'anello debole: spesso una password o un magic link via email. La catena è forte quanto il recovery.
Utenti su dispositivi condivisi o aziendali
Sul PC condiviso dell'ufficio, o su ambienti dove il portachiavi non sincronizza, la passkey diventa scomoda. Il flusso "usa il telefono per accedere sul desktop" via QR funziona ma aggiunge attrito.
Il divario di comprensione
Molti utenti non hanno un modello mentale delle passkey. "Dov'è la mia password?" resta una domanda del supporto. La UX del login deve spiegare, non dare per scontato.
Come le adottiamo nei progetti
Non "passkey o niente". Le offriamo come metodo primario, con un fallback robusto. Nuovi progetti B2C: passkey come opzione di primo piano, email + magic link come recovery. Progetti B2B con SSO: le passkey si affiancano bene al flusso aziendale, ma l'IdP resta la fonte di verità. In nessun caso togliamo del tutto la password finché il recovery non è a prova di utente distratto.
Verdetto
Nel 2026 le passkey sono pronte per essere il metodo di login primario, non ancora l'unico. Riducono drasticamente phishing e credential stuffing, e l'esperienza è finalmente buona. Ma il tema account recovery non è risolto: chi le adotta bene le tratta come il percorso principale, tenendo un fallback progettato con la stessa cura. La password non è morta, è retrocessa a piano B.