Microsoft ha rilasciato un aggiornamento significativo per Edge, il browser integrato in Windows, che introduce una funzionalità attesa da molti e dibattuta da altri: la possibilità di salvare e sincronizzare le passkey attraverso il cloud utilizzando l’account Microsoft. Con la versione 142, disponibile dal 31 ottobre e ora distribuita nel canale Stable per tutti gli utenti, l’azienda di Redmond compie un passo deciso verso l’eliminazione delle password tradizionali, rendendo l’accesso ai propri account più rapido e, almeno sulla carta, più sicuro.
L’obiettivo dichiarato è ambizioso: spingere gli utenti ad abbandonare definitivamente le password, quel segreto condiviso che da decenni rappresenta insieme il pilastro e il tallone d’Achille della sicurezza digitale. Ma questa mossa solleva interrogativi legittimi: conservare le chiavi private nel cloud è davvero la soluzione ideale, oppure introduce nuovi rischi che potrebbero vanificare i vantaggi promessi? Le passkey rappresentano l’evoluzione naturale delle credenziali di accesso, basate sullo standard aperto FIDO2 (Fast IDentity Online 2). A differenza delle password tradizionali, non richiedono di digitare alcun codice: sfruttano invece i metodi di autenticazione già integrati nel dispositivo come Windows Hello, l’impronta digitale, il riconoscimento facciale o un PIN. Ogni passkey è composta da una coppia di chiavi crittografiche: la chiave privata rimane custodita sul dispositivo dell’utente o, con questa nuova implementazione, sul cloud in forma cifrata, mentre quella pubblica viene registrata sul sito o servizio online.
Questo approccio riduce drasticamente i rischi più comuni: gli attacchi di phishing diventano inefficaci, il furto di credenziali perde senso e gli attacchi di forza bruta risultano inutili, dato che le chiavi non possono essere riutilizzate o copiate da un sito all’altro. Microsoft sottolinea infatti che le passkey non possono essere indovinate, resistono al credential stuffing e liberano l’utente dall’onere di ricordare password complesse e uniche per ogni servizio. La novità introdotta con Edge 142 risponde a una delle criticità più evidenti delle passkey: la gestione multi-dispositivo. Fino ad oggi, una passkey generata su un computer rimaneva legata a quel dispositivo, creando problemi evidenti per chi utilizza più terminali. La sincronizzazione cloud proposta da Microsoft risolve questo ostacolo permettendo di accedere alle proprie passkey da qualsiasi dispositivo associato allo stesso account Microsoft.
Quando un utente accede a un sito che supporta le passkey, Edge proporrà automaticamente di crearne una. Questa verrà salvata nel Microsoft Password Manager e protetta da un PIN dedicato che l’utente deve configurare al primo utilizzo. Una volta impostato il sistema, la passkey viene cifrata e sincronizzata attraverso il cloud Microsoft. Al momento dell’accesso successivo, sarà sufficiente inserire il PIN per autenticarsi, oppure utilizzare Windows Hello con impronta digitale o riconoscimento facciale. Microsoft specifica che le passkey sono conservate sul cloud in forma cifrata e protette da Azure Confidential Ledger, un sistema che registra in modo immutabile tutte le operazioni effettuate. Si tratta di un compromesso tra sicurezza e praticità, basato su crittografia end-to-end. L’azienda assicura che le chiavi private rimangono protette anche durante la sincronizzazione, ma è proprio questo punto a sollevare perplessità negli esperti di sicurezza.
Il dibattito ruota attorno a un aspetto tecnico fondamentale: le passkey, per loro natura, dovrebbero mantenere la chiave privata esclusivamente sul dispositivo locale. Nel momento in cui questa chiave lascia il dispositivo, anche se cifrata, si introduce un potenziale vettore di attacco. Se il cloud viene compromesso, o se esistono vulnerabilità nel sistema di crittografia, le conseguenze potrebbero essere serie. Non si tratta di scenari fantascientifici: i data breach di grandi aziende tecnologiche sono ormai cronaca ricorrente. Al momento, la funzionalità è disponibile esclusivamente per PC con Windows 10 o versioni successive, con Edge 142 o superiore e un account Microsoft attivo. Microsoft ha annunciato che il supporto si estenderà gradualmente ad altre piattaforme, inclusi dispositivi mobili e macOS, ma non ha fornito tempistiche precise. Le passkey sincronizzate possono attualmente essere utilizzate solo sui siti web aperti con Microsoft Edge, limitazione che verrà superata nelle prossime settimane con il rilascio di un plugin dedicato: il Microsoft Password Manager permetterà di impiegare le passkey memorizzate anche in applicazioni e browser di terze parti.
È importante sottolineare che il gestore delle password di Edge continuerà a supportare le credenziali tradizionali, mantenendo tutte le funzionalità già disponibili. Microsoft non sta forzando la transizione, ma la incoraggia fortemente: le passkey sono ora utilizzate di default per la creazione di nuovi account Microsoft, segnale chiaro della direzione intrapresa dall’azienda. Resta però il nodo dell’interoperabilità. Le passkey di Microsoft rimangono per ora vincolate all’ecosistema dell’azienda, esattamente come quelle di Apple e Google ai rispettivi universi. Questa frammentazione rappresenta un ostacolo significativo all’adozione di massa: un utente che utilizza dispositivi di produttori diversi si trova ancora a dover gestire sistemi separati, vanificando parzialmente i vantaggi promessi.
Le passkey rappresentano senza dubbio un enorme passo avanti rispetto alle password tradizionali, ma non sono la bacchetta magica che risolve ogni problema di sicurezza. Oltre alle questioni legate al backup e alla sincronizzazione, permangono minacce come il session hijacking, che resta possibile anche in un contesto senza password. E se un utente dimentica il PIN associato alle passkey, può resettarlo solo da un dispositivo che ha già l’accesso configurato, creando potenziali situazioni di blocco totale in caso di perdita o furto dell’unico dispositivo disponibile. Microsoft offre la possibilità di reimpostare il PIN attraverso le impostazioni del browser, accedendo a Password e riempimento automatico, poi Gestione delle password di Microsoft e infine Impostazioni. Ma questa procedura richiede appunto di avere ancora accesso a un dispositivo già autenticato, requisito non sempre garantito negli scenari reali di emergenza.
