Il Centro Nazionale per la Sicurezza Informatica del Regno Unito (NCSC, National Cyber Security Centre) ha raccomandato ufficialmente l'adozione delle passkey come metodo di autenticazione predefinito per le aziende che offrono servizi online ai consumatori, dichiarando che le password tradizionali non sono più sufficientemente resistenti alle minacce del panorama digitale attuale. La raccomandazione, pubblicata questa settimana in un blog post dell'agenzia governativa britannica, ha implicazioni dirette per sviluppatori, responsabili IT e security leader di tutto il mondo.
La presa di posizione dell'NCSC non è un semplice aggiornamento delle linee guida: segnala una discontinuità strutturale nel modo in cui le organizzazioni dovranno progettare i propri sistemi di accesso. Le passkey eliminano il concetto di "segreto condiviso" tra utente e servizio, sostituendolo con coppie di chiavi crittografiche legate al dispositivo dell'utente e verificate tramite biometria o PIN locali. Questo approccio, basato sullo standard FIDO2, trasforma radicalmente il modello di attacco a cui i sistemi di autenticazione sono esposti.
L'analisi tecnica allegata al documento dell'NCSC è esplicita: i metodi tradizionali, comprese le password associate a codici monouso (OTP), restano "intrinsecamente vulnerabili al phishing". Al contrario, le credenziali basate su FIDO2 risultano "sicure quanto o più sicure dell'autenticazione a più fattori (MFA) tradizionale contro tutti i comuni attacchi alle credenziali osservati in condizioni reali", secondo le parole dell'agenzia stessa.
Sul fronte delle implicazioni organizzative, Madelein van der Hout, analista senior di Forrester, inquadra la questione in termini espliciti: "Si tratta di un cambiamento architetturale fondamentale, non di un aggiornamento incrementale dell'autenticazione". La transizione verso le passkey spinge le organizzazioni oltre il paradigma password-più-MFA, verso una base strutturalmente resistente al phishing. Chi tratterà questo processo come una semplice sostituzione di credenziali, avverte van der Hout, sottostimerebbe gli investimenti necessari.
L'NCSC segnala però che le passkey non sono ancora universalmente supportate, e raccomanda l'uso di gestori di password e dell'autenticazione a più fattori laddove le passkey non siano disponibili. Il documento specifica anche che l'analisi è rivolta all'autenticazione dei consumatori e non copre integralmente gli scenari enterprise, come l'accesso tramite Single Sign-On per i dipendenti, che presentano un modello di rischio differente.
I nodi critici per l'adozione restano concreti. Van der Hout sottolinea che i sistemi legacy e gli ambienti di gestione delle identità frammentati rappresentano ostacoli rilevanti. A questo si aggiunge una problematica spesso sottovalutata: le identità non umane, ovvero i processi automatizzati e le integrazioni machine-to-machine. "Qualsiasi strategia sulle passkey che ignori il livello delle identità macchina creerà nuove lacune di sicurezza", avverte l'analista di Forrester.
Un ulteriore elemento di rischio evidenziato dall'NCSC riguarda i processi di recupero dell'account. Anche in presenza di passkey, meccanismi di fallback poco protetti, come i reset via email o le domande di sicurezza, possono vanificare i benefici dell'autenticazione forte, reintroducendo vulnerabilità nell'intera catena.
Nel breve e medio termine, secondo gli analisti, prevarrà un modello ibrido della durata di diversi anni, con organizzazioni che gestiranno in parallelo passkey e metodi tradizionali. Durante questa fase, la coerenza della sicurezza complessiva dipenderà dalla solidità dei metodi alternativi mantenuti attivi. La vera domanda strategica per i responsabili aziendali non è se adottare le passkey, ma quanto rapidamente i vendor di piattaforme e i fornitori di servizi terzi seguiranno, e quali pressioni normative — potenzialmente anche a livello europeo, nel quadro dell'AI Act e delle direttive NIS2 — accelereranno o rallelenteranno questa transizione.