Come creare una passkey

Ammettiamolo: le password sono una gran scocciatura. Se sono troppo semplici c'è sempre qualcuno pronto a indovinarle, ma se sono troppo complicate ce le scordiamo. Ci sono i gestori di password, direte, ma restano sempre altri problemi come le fughe di dati, che mettono a rischio i nostri account.

Ecco perché le passkey sono una tecnologia così importante, in grado finalmente di liberarci dalla schiavitù di questo arcaico (e rischioso) sistema di autenticazione. Vediamo quindi come creare una passkey, da Google o Apple, una soluzione semplicissima da utilizzare ma che, almeno all'inizio, potrebbe disorientare. 

E se siete ancora riluttanti, visto che vi trovate così bene con le password, sappiate che i giganti del Web spingono per un loro utilizzo sempre più esteso, tanto che a ottobre 2023 Google le ha attivate come mezzo di autenticazione predefinito. Andiamo a vedere come usarle, oltre a ricordarvi il nostro approfondimento su come fare passkey WhatsApp.

Da tempo i giganti del Web cercano una soluzione per superare le password, e per questo aziende come Microsoft, Apple, Google e altri hanno creato la FIDO Alliance, un'associazione aperta lanciata nel febbraio 2013 con lo scopo di sviluppare e promuovere standard di autenticazione che "contribuiscano a ridurre l'eccessiva dipendenza del mondo dalle password".

Guerra alle password quindi, che non solo possono essere facili da indovinare e si espongono ad attacchi come il phishing, ma sono anche dipendenti dai servizi online dove sono salvate. Il che significa che anche se la nostra password è sicura ma chi la archivia sui suoi server viene attaccato con successo, siamo esposti a furto di identità, dati o altro. 

Certo, c'è sempre l'autenticazione a due fattori, ma ci sono alcune soluzioni che se non stiamo attenti sono in grado di intercettare anche questo sistema, e comunque nella sua forma più sicura, quella con token fisico, non è proprio comoda.

Le passkey non condividono le stesse vulnerabilità delle password e dei codici di verifica SMS, in quanto sono un metodo di autenticazione collegato al codice di accesso o alla sicurezza biometrica di un altro dispositivo, come Face ID su un iPhone o l'impronta digitale su un telefono Android.

Il vostro viso o l'impronta digitale autenticheranno che siete davvero voi sul vostro telefono e una chiave di accesso verrà inviata al luogo in cui state cercando di accedere.

Quindi le passkey richiedono solo un dispositivo attendibile e la verifica biometrica o PIN, ma quanto sono sicure? Per esempio, cosa potrebbe succedere se il vostro telefono cadesse nelle mani di qualcun altro? 

Per rispondere a questa domanda dobbiamo prima capire cosa siano e come come funzionino le passkey, e per questo vi rimandiamo al nostro articolo dedicato, ma in breve sono entità crittografiche composte da una coppia di chiavi.

Una di queste è pubblica, registrata nel sito web o nell'app che state utilizzando e condivisa tra dispositivi (che dispongono delle proprie chiavi private), mentre l'altra è privata ed è presente soltanto sul vostro dispositivo.

La chiave pubblica non ha nessun valore senza quella privata, e quest'ultima non è accessibile a nessuno, neanche all'utente, che quindi non può condividerla. Questo garantisce anche che se un server viene compromesso, l'attaccante non ha entrambe le chiavi per ottenere l'accesso agli account.

Quando accedete a un servizio online, non dovete digitare il vostro nome utente e password, ma dovete solo utilizzare le funzionalità di sicurezza biometrica del vostro dispositivo, come Face ID o Touch ID nel caso di Apple o impronta digitale. 

Torniamo quindi alla vostra paura. Vi rubano il telefono, non c'è pericolo che accedano alle nostre passkey? No, perché dovrebbero poter usare il vostro dito o volto per sbloccare la funzione (e lo stesso vale per i PC Windows o i tablet Android).

E non solo potete usare le passkey da qualunque vostro dispositivo con autenticazione, ma anche autorizzarne temporaneamente altri attraverso una chiave di accesso trasmessa via Bluetooth.

Ma perché non sono ancora diffuse, vi chiederete. In realtà, visto che la FIDO Alliance è sostenuta da aziende come Apple, Google e Microsoft, queste ne stanno incentivando l'adozione, tanto che Google ha impostato le passkey come metodo di autenticazione predefinito per l'accesso al proprio account. Resta il fatto che sia app che siti lo stanno abbracciando con lentezza.

Prima di creare una passkey, è necessario assicurarsi che i dispositivi con cui si desidera creare una passkey siano supportati. La documentazione di Google stabilisce che avrete bisogno di almeno Windows 10 (2015) o macOS Ventura (2022), mentre per i dispositivi mobili avrete bisogno di almeno Android 9 (2018) o iOS 16 (2022).

Se invece state usando un browser, dovrà supportare le chiavi di accesso. La documentazione di Google afferma che le passkey sono supportate in Chrome 109, Safari 16 o Edge 109 (Mozilla dice che dovrebbe arrivare a breve), e anche altri browser basati su Chromium come Opera.

Volendo, potete anche usare una chiave di sicurezza hardware come Yubikey 5 o comunque un dispositivo che supporta lo standard FIDO2 per memorizzare le passkey. 

Google

Google spinge molto sulle passkey, tanto da renderle il sistema predefinito di autenticazione per l'account. Vediamo come crearle a seconda del dispositivo.

Da Chrome, Edge (o browser basato su Chromium) su Windows

Per prima cosa, assicuratevi che il vostro computer supporti le passkey e abilitate Windows Hello dalle impostazioni, poi avviate un browser e andate alla pagina relativa.

Per visualizzare e gestire le passkey per il proprio account Google, la GrandeG ha creato una dashboard speciale, che potete trovare cliccando su Gestisci il tuo account Google (per esempio da qualunque sito Google come Gmail, Calendar, Google o Maps cliccate sul vostro avatar in alto a destra e troverete questa voce). Poi cliccate a sinistra su Sicurezza e al centro, sotto la sezione intitolata Come accedi a Google, vedrete diverse opzioni, una delle quali dovrebbe essere passkey (potete arrivarci direttamente cliccando qui).

Cliccateci sopra, e vedrete la sezione chiamata Passkey che hai creato, che mostra tutte le passkey per il vostro account Google e alcune informazioni sulla piattaforma su cui è stata creata la passkey, l'ultima volta che è stata utilizzata e la posizione approssimativa del suo utilizzo. Se eliminate una passkey qui, deautorizzate il dispositivo che ha creato la chiave. 

Anche se avete già registrato una chiave di sicurezza hardware come dispositivo a più fattori con il vostro account Google, verrà visualizzata in questa lista. Ora per creare una passkey cliccate in basso sul pulsante Crea un passkey. Per prima cosa vi verrà mostrata una breve introduzione, quindi cliccate su Continua, poi verrà visualizzato un popup di Protezione Windows. Usate il metodo Windows Hello che usate per sbloccare il PC, come un PIN, il volto o l'impronta.

Adesso avete memorizzato sul vstro computer Windows una passkey per accedere al vostro account Google (nell'elenco delle passkey apparirà una nuova voce).

Attualmente Microsoft non sincronizza le passkey tra i dispositivi, ed è quindi necessario creare manualmente le passkey su tutte le altre macchine Windows. Per farlo, potete seguire i passaggi precedenti o utilizzare un altro dispositivo con una passkey per Google per autorizzare l'altra macchina e quindi creare una nuova passkey.

Da Chrome, Edge (o browser basato su Chromium) o Safari su Mac

Anche da Mac potete creare una passkey, assicuratevi solo di aver aggiornato all'ultima versione di macOS e di aver abilitato un blocco biometrico o una password per proteggere l'accesso al computer.

Andate sul sito Gestisci il tuo account Google e poi Sicurezza come sopra, cliccate su Passkey e poi su Crea una passkey. Cliccate su Continua e verificate l'account Google per il quale desiderate creare una passkey.

Autorizzate la creazione di una chiave di accesso con qualsiasi sistema usiate per sbloccare il Mac, come il lettore di impronte digitali o la password, e la passkey sarà memorizzata in modo sicuro sul Mac (nell'elenco delle passkey apparirà una nuova voce).

Da Android

Se avete un dispositivo Android, troverete la sezione delle passkey andando nelle Impostazioni del telefono (a cui potete arrivare toccando l'icona a forma di ingranaggio nella Home, nel cassetto delle app o dopo aver abbassato due volte la tendina delle notifiche), poi toccate Google e qui il pulsante Gestisci il tuo account Google. 

Si aprirà una nuova pagina, in alto face scorrere verso sinistra la riga di voci e toccate Sicurezza, poi in basso della schermata toccate la voce Passkey. Nella pagina successiva toccate il pulsante blu Continua. 

Il telefono vi chiederà di autenticarvi e nella pagina successiva vedrete una schermata con in alto il pulsante Usa passkey e in basso le passkey create automaticamente sui dispositivi su cui avete effettuato l'accesso.

Questo perché come abbiamo detto Google attiva per impostazione predefinita l'accesso tramite passkey quindi se avete collegato un dispositivo Android al vostro account Google, quel dispositivo avrà già una passkey e può essere utilizzato per accedere al vostro account Google.

Se vedete dispositivi che non riconoscete o che non usate da molto tempo, potete cliccare sulla voce Gestisci dispositivi per annullare la registrazione.

Se cliccate su Usa passkey, da adesso in poi potrete usare quel dispositivo Android per accedere al vostro account Google.

Da iPhone o iPad

Se volete creare una passkey Google da iPhone o iPad potete usare come da PC il browser Chrome (o basato su Chromium) o Safari. A questo punto, andate sulla sezione Sicurezza di Gestisci il tuo account Google (dopo aver effettuato l'accesso), toccate Passkey e poi il pulsante Crea una passkey.

Toccate Continua e apparirà un messaggio in cui verrete avvisati che la passkey verrà aggiunta al vostro portachiavi iCloud e sincronizzata con tutti i dispositivi all'ID Apple. Toccate il pulsante in fondo, sbloccate il telefono e la passkey verrà creata e memorizzata.

Questa passkey potrà anche essere usata per accedere a Google in altre app, per esempio se create la passkey in Safari poi potete usarla per accedere a Chrome.

Come usare una passkey su un altro dispositivo

Per accedere a Google su un dispositivo utilizzando una passkey memorizzata su un altro, dovrete prima creare una passkey utilizzando uno dei metodi descritti sopra e avere il Bluetooth abilitato su entrambi i dispositivi. Inoltre il dispositivo su cui create la passkey deve essere dotato di una fotocamera. 

Se per esempio effettuate l'accesso a Google da un dispositivo, vi verrà mostrata una finestra in cui vi verrà proposto, nel caso abbiate una passkey già impostata su un altro dispositivo, di poterla utilizzare per accedere. Selezionate il dispositivo che ha la vostra passkey e continuate.

Per esempio, se state autorizzando l'accesso a Google Chrome dal computer con un dispositivo Android, su quest'ultimo apparirà una notifica push, oppure con altri dispositivi apparirà un codice QR su quello che state cercando di autorizzare.

Nel primo caso, verificate la identità sul telefono e potrete accedere dal computer, mentre nel secondo caso dovete scansionare il codice con il dispositivo che ha già la chiave di accesso impostata, per poi sbloccarlo.

Una volta completata questa procedura, potete creare una nuova passkey sul dispositivo che avete appena autorizzato, avendo l'accortezza di non farlo su dispositivi non vostri o condivisi. 

Apple

Creare passkey su iPhone

Se vi state chiedendo come creare una passkey da uniPhone, la procedura è molto semplice, e grazie a iCloud potete non solo di salvarla online (con protezione tramite crittografia), ma anche sincronizzarla su tutti i dispositivi su cui è stato eseguito l'accesso con lo stesso ID Apple.

Oltre al prerequisito del sistema operativo (iOS 16, iPadOS 16, macOS 13 o tvOS 16 o versioni successive), è anche richiesto che il portachiavi iCloud e l'autenticazione a due fattori siano attivi. Soddisfatti questi aspetti, potete creare una passkey sul vostro iPhone, tenendo presente che la procedura potrebbe variare a seconda dell'app, del sito web o del browser. 

Su iPhone, andate alla schermata di accesso di un sito web o di un'app supportati, poi, se state configurando un nuovo account toccate il pulsante o il link per configurarlo, quindi seguite le istruzioni visualizzate sullo schermo.

Se invece avete già un account esistente, accedete inserendo il nome e la password, quindi andate alla schermata delle impostazioni o di gestione dell'account.

Quando viene visualizzata l'opzione di salvare una passkey per l'account, toccate Continua e la passkey è stata salvata.

In caso non sia presente un'opzione per le passkey, significa che l'app o il sito web non le supportano. Le passkey create vengono archiviate su iPhone in Impostazioni > Password, dove potete trovare sia la passkey che la password dello stesso sito o app. 

Se invece volete salvare invece una passkey su una chiave di sicurezza hardware compatibile con FIDO2, toccate Altre opzioni sul sito, poi Salva su un altro dispositivo o qualcosa di simile, quindi seguite le istruzioni a schermo.

Creare passkey su un altro dispositivo, non vostro

Ma questa non è l'unica possibilità. Può capitare di dover creare una passkey su un dispositivo che non è il vostro (o comunque non associato al vostro ID Apple), per esempio un computer pubblico.

In questo caso potete salvarla su iCloud invece che sul dispositivo. 

Per farlo, dal dispositivo andate alla pagina di accesso di un sito web o di un'app supportati e come sopra configurate un nuovo account o effettuate l'accesso, poi quando viene visualizzata l'opzione di salvare la passkey per l'account, invece di Continua, selezionate i pulsanti Altre opzioni, Salva su un altro dispositivo o voci del genere.

Poi selezionate una voce del tipo Salva una passkey su un dispositivo con fotocamera, quindi seguite le istruzioni per visualizzare il codice QR sullo schermo. Usate la fotocamera di iPhone per scansionare il codice QR e la passkey sarà salvata sul telefono e sul portachiavi iCloud.

Eliminare una passkey

Una volta creata la passkey, potete modificarla o eliminarla. Per modificarla potete crearne una nuova seguendo i passaggi sopra elencati, mentre per eliminarla andate in Impostazioni e poi toccate Password.

Ora toccate l'account relativo alla passkey che volete eliminare, poi toccate Elimina passkey. 

Utilizzare una passkey

Se volete sapere come usare una passkey, è semplicissimo. Andate sul sito web o nell'app e selezionate la voce per l'accesso con passkey, che potrebbe non essere la prima opzione.

Toccate il campo per il nome dell'account sulla schermata di accesso, In basso si aprirà una finestra: toccate il nome di account suggerito, oppure lo potete trovare vicino alla parte superiore della tastiera. Potete anche inserirlo manualmente, se non compare o volete inserirne un altro. Utilizzate Face ID o Touch ID per completare l'accesso, che avverrà automaticamente. 

La procedura può essere effettuata anche da un altro dispositivo, da cui dovete andare sul sito, poi selezionare Altre opzioni, Passkey da un dispositivo nelle vicinanze o altro, poi seguite le istruzioni e usate la fotocamera dell'iPhone per scansionare il codice QR che vi viene proposto.

PayPal

PayPal è uno dei servizi che supporta l'accesso tramite passkey. Per prima cosa, dovete attivare la funzione, ovvero creare la passkey, cosa che può essere effettuata da browser (Chrome o Safari) solo da dispositivo mobile.

Effettuate l'accesso al servizio andando sul sito e poi inserendo i vostri dati, poi toccate l'icona con tre linee orizzontali in alto a sinistra.

Successivamente, toccate l'icona a forma di ingranaggio in alto e selezionate la voce Sicurezza in alto.

In basso, toccate la scheda Passkey e vedrete una schermata per creare la passkey. Toccate il pulsante Crea una passkey in basso e, dopo aver esaminato le informazioni, toccate Avanti.

Scegliete la procedura per confermare la vostra identità e toccate Avanti, poi inserite il codice e toccate Continua. A questo punto potete creare la passkey. Toccate in basso Continua per creare una passkey e vi verrà chiesto il vostro metodo di autenticazione.

Sugli iPhone, potete usare Face ID, Touch ID o il codice per sbloccare il dispositivo, mentre sui dispositivi Android potete usare la scansione del viso o delle impronte digitali, il PIN o la sequenza per sbloccare il dispositivo (a seconda del blocco configurato).

Toccate Continua e al termine dell'operazione vi verrà mostrata la pagina con l'elenco delle passkey create, oltre a ricevere un'email di conferma attivazione.

Una volta creata una passkey, potete usarla come metodo di accesso principale, ma in caso vogliate accedere anche con altri metodi come password o codice usa e getta potete utilizzare altre opzioni di accesso. 

Potete accedere a PayPal da un dispositivo Apple (iPhone, Mac e iPad) o Google (solo Android) con una passkey memorizzata su quel dispositivo. Inserite l'email di accesso, poi cliccate su Avanti e avviate l'accesso con passkey seguendo le istruzioni visualizzate per confermare la vostra identità sbloccando il dispositivo.

Se invece utilizzate un dispositivo non associato allo stesso ID Apple o account Google, potete comunque accedere a PayPal utilizzando la passkey memorizzata sul telefono. Per accedere con una passkey su un dispositivo di questo tipo, andate nella pagina di accesso PayPal, digitate la vostra email e cliccate su Avanti per avviare l'accesso con una passkey.

Scegliete Altre opzioni, Passkey da un dispositivo nelle vicinanze o simili nella schermata popup e seguite le istruzioni visualizzate sullo schermo per ottenere un codice QR sullo schermo.

Scansionate il codice QR utilizzando il telefono con la passkey ed effetuerete l'accesso al vostro conto.

In caso il dispositivo venisse smarrito o rubato, potete non solo accedere in questi modi, ma anche rimuovere la passkey in questione (tra poco vedremo come fare). Sappiate comunque che non è possibile accedere al conto PayPal senza aver prima sbloccato il dispositivo.

Se volete, potete rimuovere la vostra passkey nelle impostazioni di sicurezza all'interno del vostro account tramite sito, tenendo presente che questa azione non rimuoverà la chiave di accesso dal dispositivo.

Su un dispositivo Apple, andate nelle Impostazioni di sistema, quindi cliccate su Password nella barra laterale e selezionate PayPal. Cliccate sul pulsante Informazioni per PayPal.com, poi su Modifica e infine su Elimina passkey. Date conferma cliccando su Elimina passkey. 

Su un dispositivo Android, andate nelle Impostazioni, quindi toccate Password e account. Toccate Google sotto password e nella pagina successiva toccate PayPal.com.

Se necessario sbloccate il dispositivo, poi toccate Elimina passkey e date conferma toccando Elimina.

Dove trovo la passkey?

Se volete sapere dove sono le passkey, su iPhone sono in Impostazioni, poi Password, dove troverete anche le password, e infatti potete avere una passkey e una password per la stessa app o sito web. Su Android, le passkey sono su Gestore password di Google, a cui potete accedere andando nelle Impostazioni, poi toccate Password e account e in alto toccate Google sotto Password. Qui vedrete le password e le passkey salvate. 

Come attivare passkey iPhone?

Per creare e salvare una passkey per le app e per i siti web che le supportano, andate alla schermata di accesso del servizio e toccate il pulsante o il link per configurare un nuovo account, mentre se avete un account esistente effettuate l'accesso poi andate nella sezione dedicata alla gestione dell'account. Qui toccate passkey e seguite le istruzioni per crearne una, che verrà salvata dopo aver confermato la vostra identità tramite Face ID o Touch ID.