Cos’è una chiave di sicurezza hardware?
Una chiave di sicurezza hardware è un piccolo dispositivo fisico che si collega al computer o si avvicina al telefono per verificare la propria identità quando si accede ai servizi online. Costruita sullo standard FIDO2/WebAuthn, funge da fattore “qualcosa che si possiede” nell’autenticazione a due fattori (2FA). Basta inserire la chiave in una porta USB o tenerla vicino a un lettore NFC e premere un pulsante — l’autenticazione è completata in pochi secondi, senza codici da digitare e senza che un sito di phishing possa rubare le credenziali.
Le chiavi di sicurezza hardware sono ampiamente considerate la difesa commercialmente disponibile più efficace contro gli attacchi di phishing. Google, Microsoft, GitHub e le principali istituzioni finanziarie le supportano tutte, e il programma Advanced Protection di Google richiede una chiave fisica per l’iscrizione. Per chiunque voglia il massimo livello di sicurezza dell’account — dagli amministratori IT agli utenti comuni che proteggono la propria email personale — una chiave hardware è lo standard d’oro.
Approfondimento
Come funzionano le chiavi di sicurezza
All’interno della chiave si trova un elemento sicuro — un chip a prova di manomissione che memorizza una chiave crittografica privata. Quando si registra la chiave con un servizio online, viene generata una coppia di chiavi univoca: la chiave privata rimane sul dispositivo e non lo lascia mai, mentre la chiave pubblica viene memorizzata dal servizio. Durante l’accesso, il servizio invia una sfida crittografica. La chiave di sicurezza firma la sfida con la propria chiave privata e restituisce la risposta firmata. Il servizio verifica la risposta usando la chiave pubblica memorizzata.
Poiché la chiave privata non lascia mai il dispositivo e la firma è crittograficamente legata all’origine specifica del servizio (dominio), i siti di phishing che imitano la pagina di accesso non riescono a intercettare o riprodurre l’autenticazione. Anche se si venisse ingannati a visitare una convincente pagina di accesso falsa, la chiave si rifiuterebbe di firmare per il dominio sbagliato. Questa proprietà di binding dell’origine è ciò che rende le chiavi hardware fondamentalmente più sicure dei codici SMS, delle app TOTP o dei metodi 2FA con notifiche push.
FIDO2, U2F e passkey
FIDO U2F era lo standard di prima generazione per le chiavi di sicurezza, usato esclusivamente come secondo fattore insieme a una password. FIDO2 (che include l’API WebAuthn del browser e il protocollo CTAP2) è il suo successore: supporta sia l’uso come secondo fattore sia l’autenticazione completamente senza password tramite passkey. Le chiavi di sicurezza moderne sono compatibili con FIDO2, il che significa che possono memorizzare credenziali individuabili (passkey) direttamente sull’hardware — eliminando completamente la password per i servizi supportati.
Alcuni modelli includono un sensore biometrico per le impronte digitali sulla chiave stessa, aggiungendo un fattore “qualcosa che si è”. Con una chiave biometrica, si tocca il sensore per autenticarsi — nessun PIN da inserire, e nessun modo per chi ruba la chiave fisica di usarla senza la propria impronta.
Servizi supportati ed ecosistema
L’elenco dei servizi che accettano chiavi di sicurezza hardware continua a crescere rapidamente. Le principali piattaforme includono Google, Microsoft, Apple, GitHub, GitLab, X (ex Twitter), Facebook, Dropbox, Coinbase, Binance e la maggior parte dei provider di identità aziendali (Okta, Azure AD, Duo). In ambienti aziendali, le chiavi di sicurezza proteggono l’accesso VPN, le console di amministrazione cloud e i portali SSO interni.
Per i privati, l’azione a maggior impatto è proteggere l’account email principale e il proprio gestore di password con una chiave hardware. Questi due servizi sono le chiavi master dell’intera vita digitale — se un attaccante compromette uno dei due, riesce a reimpostare le password di tutto il resto.
Prodotti principali
Le chiavi di sicurezza hardware più ampiamente riconosciute sono la serie YubiKey 5 (Yubico), che supporta FIDO2, U2F, smart card (PIV), OpenPGP e protocolli OTP. La Titan Security Key di Google offre FIDO2 con NFC e USB-C a un prezzo inferiore. I nuovi arrivati come la Yubico Security Key C NFC forniscono FIDO2/U2F a un prezzo ancora più accessibile, omettendo i protocolli avanzati di cui la maggior parte dei consumatori non ha bisogno.
Durata e utilizzo quotidiano
Le chiavi di sicurezza hardware sono progettate per vivere su un portachiavi e sopportare l’uso quotidiano. La maggior parte è resistente all’acqua, alle schiacciature e non ha batteria (si alimentano dalla porta USB o dal campo NFC). Non ci sono parti mobili e nessuno schermo che si possa rompere. La serie YubiKey 5 è classificata IP68 per resistenza all’acqua e alla polvere. Poiché la chiave deve essere fisicamente presente per l’autenticazione, tenerla accessibile — sul portachiavi, in uno slot del portafoglio, o appesa a un cordino. Alcuni utenti tengono una chiave sempre con sé e una seconda a casa o in un luogo sicuro in ufficio.
Come scegliere
1. Abbinare i tipi di connessione ai propri dispositivi
Le chiavi di sicurezza vengono fornite con interfacce USB-A, USB-C, NFC e a volte Bluetooth. Per chi usa un laptop USB-C e uno smartphone NFC-capace, una chiave USB-C + NFC consente a un unico dispositivo di coprire entrambi gli scenari. Assicurarsi che il connettore della chiave corrisponda alle porte di ogni dispositivo su cui si prevede di usarla.
2. Richiedere il supporto FIDO2 e valutare la biometria
FIDO2 è lo standard attuale ed è essenziale per la memorizzazione delle passkey e l’accesso senza password. Per chi vuole l’esperienza quotidiana più fluida, una chiave biometrica con un lettore di impronte digitali integrato elimina la necessità di un PIN a ogni evento di autenticazione. Il premium è modesto e la comodità è reale.
3. Registrare sempre una chiave di backup
Se si perde l’unica chiave di sicurezza, si potrebbe essere esclusi dai propri account. La best practice è registrare due chiavi su ogni servizio: una chiave primaria che si porta quotidianamente e una chiave di backup che rimane in un luogo sicuro a casa o in una cassetta di sicurezza. Il piccolo costo di una seconda chiave vale bene l’assicurazione contro il blocco.
In sintesi
Una chiave di sicurezza hardware è il modo più efficace per proteggere gli account online dal phishing, dal credential stuffing e dagli attacchi SIM-swap. Scegliere una chiave con supporto FIDO2 e tipi di connessione compatibili con i propri dispositivi, valutare la comodità biometrica e impostare sempre un backup. L’investimento è modesto — tipicamente 25–70 € per chiave — e la protezione che offre è sproporzionatamente grande. Per chiunque prenda sul serio la sicurezza digitale, una chiave hardware appartiene al proprio portachiavi.