Due tecnologie dominano la sicurezza moderna degli account: le passkey e l’autenticazione a due fattori (2FA). Entrambe superano i limiti di un’unica coppia nome utente-password, ma lo fanno in modi leggermente diversi. Questo articolo spiega come funziona ciascun approccio, come si confrontano in termini di sicurezza e come possono essere implementati senza difficoltà, così gli utenti possono decidere quale soluzione sia più adatta alle loro esigenze personali o aziendali.
L’idea alla base di passkey e 2FA
Come funzionano le passkey?
Funzionalità | Passkey | 2FA |
Obiettivo principale | Sostituire la password con uno scambio crittografico a chiave pubblica | Aggiungere un secondo fattore a una password esistente |
Come funziona | Sul dispositivo dell’utente viene generata una coppia di chiavi crittografiche (pubblica e privata). La chiave pubblica viene memorizzata sul server e quella privata sul dispositivo. Al momento dell’accesso, il server invia una challenge al dispositivo dell’utente, che la firma con la chiave privata e restituisce la firma. | Dopo un’autenticazione con password riuscita, il sito o l’app richiede una seconda informazione: un codice da un’app di autenticazione, un SMS, un’email o un token hardware. |
Cosa vedono gli utenti | “Accedi con il tuo dispositivo” oppure un messaggio che invita a usare l’impronta digitale o la scansione del volto. | Dopo che l’utente inserisce la password, compare una richiesta di codice numerico. |
Sia le passkey sia la 2FA aggiungono un ulteriore livello di protezione che rende molto più difficile agli aggressori ottenere l’accesso, ma lo fanno sfruttando principi di sicurezza diversi.
Le basi di sicurezza delle passkey spiegate
Le passkey si basano su una primitiva crittografica matura e ben studiata: l’infrastruttura a chiave pubblica (PKI) e la crittografia a chiave pubblica, con l’obiettivo di sostituire le password. Quando un utente crea una passkey vincolata al dispositivo, il dispositivo utilizza un’enclave sicura o un ambiente di esecuzione attendibile (TEE) che custodisce la chiave privata.
A differenza delle password, questa chiave privata resta sul dispositivo ed è protetta da un blocco biometrico o da un PIN. Qualsiasi servizio online che supporti una passkey conosce solo la chiave pubblica, che non può essere usata per ricostruire la chiave privata. Questo rafforza la sicurezza online. Il metodo basato sulla coppia di chiavi pubblica-privata offre un livello di sicurezza superiore a qualsiasi altro metodo di autenticazione attuale. Le passkey aiutano a prevenire gli attacchi di phishing su siti web e app usando un processo diverso rispetto alle password tradizionali.
Una volta creata una passkey, al momento dell’accesso avviene il seguente processo:
Challenge del server: il server invia al dispositivo un nonce casuale (un numero usato una sola volta).
Generazione della firma: con l’autenticazione biometrica, il dispositivo dell’utente firma il nonce usando l’algoritmo ECDSA o EdDSA (le scelte comuni sono la curva secp256r1 per ECDSA e la curva ed25519 per EdDSA).
Verifica della firma: il sito web o l’app verifica la firma con la chiave pubblica memorizzata. Se la firma corrisponde, l’utente viene autenticato.
Poiché la chiave privata non lascia mai il dispositivo e non viene mai trasmessa sulla rete, un aggressore che compromette il server non può impersonare l’utente perché non può autenticare la sua passkey.
Anche se gli aggressori riuscissero a rubare la chiave pubblica memorizzata per un account, non potrebbero falsificare la firma richiesta. Questa è una garanzia molto più solida della segretezza di una password, che può essere rubata, indovinata o violata. Le passkey sincronizzate offrono una protezione più forte contro le violazioni dei dati rispetto alle password tradizionali e aiutano a proteggere le informazioni sensibili.
Punti di forza della 2FA
Mentre le passkey sostituiscono completamente la password di un account, la 2FA aggiunge un secondo fattore alla password esistente. Ecco perché la 2FA è spesso il primo passo che molte persone compiono verso una maggiore sicurezza. È già supportata su quasi tutte le piattaforme e può essere implementata usando diversi metodi di secondo fattore, tra cui:
App di autenticazione: Bitwarden Authenticator, Google Authenticator, Microsoft Authenticator, Authy, ecc., che generano password monouso basate sul tempo (TOTP).
Codici SMS: codici univoci che arrivano al numero di telefono dell’utente.
Codici email: codici inviati all’indirizzo email registrato dell’utente.
Token hardware: YubiKey o i dongle hardware di Duo Security, che forniscono un meccanismo fisico di challenge-response.
Ogni metodo bilancia praticità e sicurezza in modo diverso.
I codici via SMS sono pratici, ma possono essere intercettati tramite SIM swap o intercettazioni di rete, quindi in genere sono consigliati solo per account a basso rischio. Tuttavia, alcuni servizi, come molte banche, offrono solo codici SMS o email per la verifica dell’utente.
La 2FA offre maggiore sicurezza rispetto a una semplice password, può essere configurata in base al livello di comfort dell’utente ed è ampiamente adottata. Come componente aggiuntivo, la 2FA non elimina le password, ma richiede agli autori di attacchi di ottenere sia la password corretta sia il secondo fattore per accedere all’account.
Confronto pratico tra passkey e 2FA
Confronto della sicurezza
Passkey: un sistema challenge-response con chiave pubblica e privata, progettato matematicamente per essere non falsificabile finché la chiave privata non lascia mai il dispositivo. Poiché la chiave privata non viene mai esposta, nemmeno un server compromesso può impersonare l’utente, quindi un malintenzionato non può accedere a un account.
Questo rende le passkey il metodo di autenticazione più sicuro oggi disponibile, combinando la prova crittografica del possesso con la verifica biometrica o tramite PIN in un’esperienza fluida. Inoltre, grazie al livello aggiuntivo fornito dal sensore di impronte digitali o dallo scanner facciale del dispositivo, le passkey aggiungono l’autenticazione biometrica al processo, contribuendo a prevenire attacchi di phishing e altre violazioni della sicurezza.
2FA: l’aggiunta di un secondo fattore alza drasticamente l’asticella per gli autori di attacchi, che dovrebbero indovinare o forzare la password e ottenere il secondo fattore per accedere a un account.
I metodi 2FA più solidi, come i token hardware o i TOTP, sono quasi sicuri quanto le passkey in molti scenari in cui è richiesto l’accesso all’account.
I codici TOTP possono essere generati tramite app autonome come Bitwarden Authenticator, e alcuni gestori di password offrono anche il supporto 2FA integrato.
La 2FA basata su SMS è meno sicura perché dipende dall’integrità della rete cellulare. Tuttavia, fornisce comunque un livello di difesa significativo contro attacchi di credential stuffing e brute force.
Quando scegli tra passkey e 2FA, considera la sicurezza come un sistema a livelli in cui le passkey si collocano nella fascia più alta, mentre la 2FA è appena sotto, ma comunque al di sopra della protezione di base con password.
Implementazione e facilità d’uso
Passkey
Il funzionamento delle passkey potrebbe sembrare un po’ misterioso. È comprensibile, perché sono relativamente nuove. Le passkey funzionano grazie ai sensori biometrici e alle API di riconoscimento facciale presenti nei moderni smartphone, laptop e tablet. Queste funzionalità biometriche attivano la passkey durante l’autenticazione. Quando si crea una passkey, la chiave pubblica viene registrata automaticamente sul server durante la configurazione. Dopodiché, accedere è semplice come appoggiare un dito su un sensore o guardare lo schermo. Per molti utenti, l’esperienza è quasi invisibile: niente password lunghe da digitare e niente codici 2FA da ricordare.
2FA
Questa configurazione in genere prevede il collegamento di un’app di autenticazione o la configurazione di un token hardware, come le chiavi hardware conformi agli standard della FIDO Alliance. Una volta configurato, il processo è semplice: inserisci nome utente e password, quindi digita il codice visualizzato nell’app di autenticazione oppure il codice ricevuto via SMS. Poiché la 2FA esiste da molto tempo, sono disponibili moltissimi tutorial, articoli di assistenza e risorse di supporto, e ormai quasi tutti i siti e servizi supportano questo livello di protezione aggiuntivo.
Confronto
Entrambi i metodi richiedono una piccola configurazione iniziale, ma la sicurezza e la privacy aggiuntive valgono il tempo necessario. Creare una passkey riduce l’attrito eliminando la necessità di digitare codici, grazie alle due chiavi crittografiche, mentre la 2FA offre agli utenti una percezione concreta di protezione aggiuntiva. Rafforzare le pratiche di autenticazione con uno dei due metodi aumenta la sicurezza e aiuta a impedire che i dati finiscano nel dark web.
Costi e infrastruttura
Passkey
Non è necessario hardware aggiuntivo se è già in uso un dispositivo con funzionalità biometriche, come un telefono. L’unico costo sostenuto è lato aziendale, per lo sforzo di sviluppo necessario a rendere disponibile la chiave pubblica al server. Per i fornitori di servizi, si tratta di un costo di integrazione una tantum per piattaforma.
2FA
Scegliendo un’app di autenticazione su un dispositivo, il costo è sostanzialmente nullo. I token hardware comportano un piccolo costo di acquisto una tantum; YubiKey, ad esempio, costa circa 50 dollari per un modello base. Per le aziende, potrebbero applicarsi costi di licenza o abbonamento per soluzioni 2FA di livello enterprise come Duo o Okta.
Resistente al phishing vs a prova di phishing
Qual è la differenza tra resistente al phishing e a prova di phishing? Il termine “resistenza al phishing” è usato da molte organizzazioni, tra cui NIST, CISA, Microsoft e la FIDO Alliance. Inoltre, NIST SP 800-63-4 (2025) definisce la resistenza al phishing e la richiede per AAL3.
I sistemi resistenti al phishing includono generalmente le seguenti misure di sicurezza:
Autenticazione multifattore (MFA): richiede agli utenti di fornire una verifica aggiuntiva, come un codice inviato al telefono o una scansione biometrica.
Protocolli di autenticazione resistenti al phishing: richiedono l’uso di protocolli come WebAuthn o FIDO2 per offrire un modo più sicuro di autenticare gli utenti.
Formazione sulla consapevolezza della sicurezza: gli utenti devono essere formati su come riconoscere ed evitare i tentativi di phishing.
Rilevamento avanzato delle minacce: il rilevamento delle minacce basato sull’IA può essere usato per identificare e bloccare email o messaggi sospetti.
Anche CISA consiglia ripetutamente alle organizzazioni di implementare l’autenticazione multifattore resistente al phishing, come le chiavi di sicurezza FIDO o le smart card. Nel 2025, Microsoft ha allineato le proprie linee guida allo Zero Trust, raccomandando l’MFA resistente al phishing e l’adozione di soluzioni senza password. Infine, la FIDO Alliance presenta passkey/FIDO2/WebAuthn come resistenti al phishing e come sostituti della MFA legacy (password + SMS).
Sebbene le passkey siano riconosciute come resistenti al phishing al livello AAL2, NIST SP 800-63-4 specifica che solo le passkey vincolate al dispositivo con chiavi private non esportabili soddisfano i requisiti AAL3. Le passkey sincronizzabili (multi-dispositivo), che consentono la sincronizzazione tra dispositivi tramite servizi cloud, non sono consentite al livello AAL3 perché la chiave privata deve essere esportabile per la sincronizzazione. Le organizzazioni che richiedono una garanzia AAL3 dovrebbero implementare chiavi di sicurezza hardware, smart card o passkey vincolate al dispositivo anziché passkey sincronizzabili.
Un sistema a prova di phishing, in teoria, è completamente resistente agli attacchi di phishing, il che implica un livello di sicurezza tale da rendere impossibile usare tecniche di phishing per indurre gli utenti a divulgare informazioni sensibili. In realtà, tuttavia, è quasi impossibile creare un sistema del genere perché, anche con le misure di sicurezza più avanzate, esiste sempre il rischio di errore umano. Tali sistemi richiederebbero:
Protocolli di autenticazione inviolabili: un sistema a prova di phishing richiederebbe l’uso di protocolli teoricamente inviolabili, come la crittografia resistente ai computer quantistici.
Consapevolezza della sicurezza perfetta: tutti gli utenti dovrebbero essere completamente immuni alle tattiche di ingegneria sociale.
Progettazione a prova di intrusione: il sistema dovrebbe essere progettato tenendo conto della sicurezza, usando tecniche come pratiche di codifica sicura e modellazione delle minacce.
I sistemi resistenti al phishing sono progettati per essere altamente sicuri e possono essere implementati facilmente e con successo. Valuta attentamente qualsiasi servizio che dichiari di offrire sistemi completamente a prova di phishing prima di procedere.
Come scegliere il metodo giusto
La scelta del metodo giusto dipende da diversi fattori. Il primo è la semplicità della configurazione. La 2FA è più facile da configurare inizialmente, ma le passkey offrono un livello di sicurezza più elevato. Al momento della scelta, considera questi suggerimenti:
Account ad alto valore (bancari, amministrazione aziendale): usa un token hardware per la 2FA oppure passa alle passkey, se supportate.
Account consumer generici (social media, email): la 2FA con un’app di autenticazione TOTP offre una protezione solida ed è ampiamente supportata.
Account a basso rischio: la 2FA via SMS o email può essere accettabile, ma valuta il passaggio a un metodo più robusto se l’account contiene dati sensibili.
In sintesi
Nel confronto tra passkey e 2FA, la risposta dipende dalle priorità:
Se la massima sicurezza è fondamentale e si dispone di un telefono con riconoscimento tramite impronta digitale e/o facciale, le passkey sono la scelta migliore.
Se l’obiettivo è un miglioramento rapido e incrementale rispetto all’autenticazione standard con nome utente e password, compatibile con molte piattaforme, la 2FA, in particolare con token hardware o app TOTP, è il passo successivo migliore.
In ogni caso, questo consente di superare le vulnerabilità dell’autenticazione basata solo su password e di compiere passi concreti verso una protezione più solida.
Gestisci sia le passkey sia l’autenticazione a due fattori con Bitwarden
Le passkey rappresentano un importante passo avanti per un accesso sicuro e intuitivo, mentre la 2FA rimane una misura di protezione potente e ampiamente adottata, adattabile alle esigenze dell’utente. Quando valuti la scelta tra passkey e 2FA, considera i compromessi in termini di sicurezza, praticità e risorse necessarie per l’implementazione. Qualunque percorso tu scelga, stai compiendo un passo concreto verso una sicurezza digitale più solida.
Per chi utilizza già il gestore di password Bitwarden, o sta valutando di adottarlo, passkey e 2FA possono essere gestite sui dispositivi Apple e Android, oltre che su tutti i principali sistemi operativi, consolidando la sicurezza in un unico strumento.