Le passkey hanno superato da tempo la fase della curiosità tecnica: oggi rappresentano una delle risposte più concrete al problema storico delle password rubate, riutilizzate e vulnerabili agli attacchi phishing. Eppure una parte dei grandi servizi online continua a non offrire agli utenti la possibilità di accedere mediante l’uso di passkey o le propone non come prima scelta. Scott Helme, ricercatore di sicurezza noto anche per il progetto Why No HTTPS realizzato nel 2017 con Troy Hunt (Have I Been Pwned), ha deciso di creare un sito che raccoglie tutte le piattaforme online che ancora non hanno scelto di abbracciare le passkey: Why No Passkeys.
Le password restano il punto debole di moltissimi account, mentre gli attacchi basati su credenziali rubate, credential stuffing e finte pagine di login sono, purtroppo, sempre più frequenti.
Il dato che ha accompagnato il lancio del progetto Why No Passkeys è piuttosto chiaro: 7 dei primi 25 siti globali non risultano ancora compatibili con le passkey, cioè il 28% delle destinazioni più visitate che presuppongono una procedura di accesso.
Tra i nomi evidenziati compaiono servizi di enorme visibilità come Instagram, Netflix, Spotify: non piccole realtà prive di team dedicati alla sicurezza, ma piattaforme che influenzano le abitudini di accesso di centinaia di milioni di persone.
