Cos'è una security key (chiave di sicurezza fisica)?
Una security key — o chiave di sicurezza fisica — è un dispositivo delle dimensioni di una chiavetta USB che protegge i tuoi account contro il phishing in modo assoluto. A differenza degli SMS o delle app di autenticazione, una security key verifica il dominio del sito web prima di rispondere: se il sito è falso, non autentica. Secondo Google, da quando ha implementato le chiavi fisiche per i suoi dipendenti, i casi di phishing sono scesi a zero (Google, 2019).
In questo articolo spieghiamo come funziona, a cosa serve e quali modelli hanno più senso in base al tuo dispositivo.
Come funziona una security key?
Una security key è un secondo fattore di autenticazione basato sulla crittografia a chiave pubblica. Quando la registri su un servizio, il dispositivo genera una coppia di chiavi uniche:
- Una chiave privata che non lascia mai l'hardware
- Una chiave pubblica che viene registrata nel servizio
Quando effettui l'accesso, il servizio invia una sfida matematica che solo la tua chiave può risolvere. E la cosa più importante: la chiave verifica il dominio prima di rispondere. Se qualcuno ti indirizza a un sito falso che imita la tua banca o Gmail, la chiave fallisce automaticamente anche se l'attaccante possiede la tua password.
A cosa serve una security key?
Le security key proteggono gli account sui servizi compatibili con gli standard FIDO2 e WebAuthn, che oggi includono la maggior parte delle piattaforme più importanti. Casi d'uso più comuni:
- Email principale e gestore di password
- Conti bancari e fintech (Revolut, PayPal, Wise)
- Exchange di criptovalute (Binance, Coinbase, Kraken)
- Account aziendali con accesso a dati sensibili
- Accesso SSH a server e console cloud (AWS, GCP, Azure)
Se gestisci informazioni sensibili o account con valore economico, una security key elimina il vettore di attacco più comune: il phishing.
Security key consigliate
Questi due modelli di YubiKey sono i più utilizzati. L'unica differenza è il connettore — scegli in base alle porte dei tuoi dispositivi.
Il più venduto
YubiKey 5 NFC (USB-A)
Compatibile con USB-A e NFC. Supporta FIDO2, WebAuthn, OTP e OpenPGP. Senza batteria, senza driver.
Per i portatili moderni
YubiKey 5C NFC (USB-C)
Stesse funzioni della 5 NFC ma con connettore USB-C. Compatibile anche con smartphone Android senza adattatore.
Accessori per la tua YubiKey
Una volta ottenuta la chiave, proteggerla fisicamente è altrettanto importante. Questi accessori sono prodotti in Spagna e progettati specificamente per YubiKey.
Portachiavi
Portachiavi con Cordino
Custodia con cordino (lanyard) integrato. Protegge da urti e graffi dell'uso quotidiano. PLA+, prodotto in Spagna.
Per il portafoglio
Supporto Formato Tessera
Stesse dimensioni di una carta di credito. Si inserisce in qualsiasi portafoglio senza aggiungere ingombro. PLA+, prodotto in Spagna.
Se porti la YubiKey nel mazzo di chiavi, la custodia con cordino è l'opzione più pratica. Se la tieni nel portafoglio, il supporto formato tessera occupa esattamente lo stesso spazio di una carta di credito.
Security key vs altre forme di 2FA
Non tutti i secondi fattori offrono lo stesso livello di protezione:
| Metodo 2FA | Protegge dal phishing | Richiede batteria | Costo approx. |
|---|---|---|---|
| Security key (FIDO2) | ✅ Sì | ❌ No | 25–70 € |
| App autenticazione (TOTP) | ❌ No | ✅ Sì (cellulare) | Gratis |
| SMS con codice | ❌ No | ✅ Sì (cellulare) | Gratis |
| Email con link | ❌ No | ✅ Sì (cellulare) | Gratis |
La differenza critica è la protezione dal phishing. Con SMS o TOTP, un attaccante può catturare il codice in tempo reale. Con una security key, il dispositivo convalida il dominio prima di rispondere — bloccando l'attacco anche se l'attaccante possiede la tua password.
La regola del backup: sempre due chiavi
Questo è l'errore più comune all'inizio: registrare una sola chiave. Se la perdi o si rompe, rimani chiuso fuori da tutti gli account dove l'avevi configurata. La soluzione è semplice: registra sempre una seconda chiave come backup e conservala in un luogo sicuro.
Acquista due chiavi fin dall'inizio. Usa la prima quotidianamente e tieni la seconda come riserva. Se in qualche servizio non puoi registrare una seconda chiave, conserva i codici di recupero stampati su carta.
Domande frequenti
Funziona sul cellulare?
Sì, se la chiave ha l'NFC o un connettore USB-C compatibile. Entrambi i modelli consigliati qui includono l'NFC — basta avvicinare la chiave al telefono per autenticarsi.
Cosa succede se la perdo?
Se hai registrato una seconda chiave o salvato i codici di recupero, puoi ripristinare l'accesso senza problemi. Ecco perché è fondamentale configurare il backup fin dall'inizio.
Funziona con Gmail, Outlook e social network?
Sì. Google, Microsoft, GitHub, X e la maggior parte delle piattaforme rilevanti supportano FIDO2 e WebAuthn.
Ha una batteria?
No. Si alimenta dalla porta USB o dal campo NFC. Non richiede ricarica né manutenzione.
Devo installare dei driver?
No. Le YubiKey funzionano come dispositivi HID standard — vengono riconosciute automaticamente su Windows, macOS e Linux.
Da dove iniziare
Una security key è il modo più efficace per proteggere gli account online dal phishing e dal furto di credenziali. Se non ne hai mai usata una, questo è l'ordine consigliato: acquista due chiavi (una per l'uso quotidiano, una di backup), registrale prima sulla tua email principale e sul tuo gestore di password, e conserva i codici di recupero di ogni servizio su carta.
Il costo di due chiavi — meno di 100 € — è basso rispetto all'impatto di perdere l'accesso a un account critico.
