Cos'è FIDO2 e come funziona? Il protocollo dietro YubiKey spiegato
FIDO2 è uno standard aperto di autenticazione basato sulla crittografia a chiave pubblica, progettato per eliminare l'uso delle password e rendere il phishing praticamente inutile. È il protocollo che fa funzionare YubiKey, le passkey e l'autenticazione biometrica del tuo telefono. In questo articolo spieghiamo come funziona tecnicamente, senza necessità di essere sviluppatore per capirlo.
Come funziona FIDO2 tecnicamente?
FIDO2 si basa su una coppia di chiavi crittografiche: una pubblica e una privata. La chiave privata non esce mai dal dispositivo — non viene inviata su internet, né archiviata su nessun server. Questo è ciò che rende FIDO2 fondamentalmente diverso da una password.
🔐 La coppia di chiavi spiegata
Chiave privata: viene generata e rimane all'interno della tua YubiKey o dispositivo. Non viene mai trasmessa a nessun luogo.
Chiave pubblica: viene inviata al servizio (Google, GitHub, la tua banca) quando registri la chiave. Il servizio la salva per verificare autenticazioni future.
Risultato: anche se il server del servizio venisse hackerato, la chiave pubblica da sola non permetterebbe a nessuno di accedere al tuo account.
Il processo ha due fasi distinte:
Quando attivi FIDO2 su un servizio, il tuo dispositivo genera una nuova coppia di chiavi specifica per quel sito web. La chiave pubblica viene inviata e salvata sul server; la chiave privata rimane sulla tua YubiKey.
Ogni volta che accedi, il servizio invia una sfida crittografica. Il tuo dispositivo la firma con la chiave privata e restituisce la firma. Il server verifica la firma con la chiave pubblica che aveva già salvato. Se corrisponde, accedi.
In nessun momento viene trasmessa una password o un dato segreto riutilizzabile — solo una firma valida per quel tentativo specifico.
FIDO2 vs U2F vs WebAuthn — sono la stessa cosa?
I tre termini sono correlati ma non sono esattamente sinonimi:
| Protocollo | Cos'è |
|---|---|
| U2F | Il protocollo originale di Yubico e Google (2014). Funzionava solo come secondo fattore — avevi bisogno di password + chiave. |
| WebAuthn | Lo standard web (W3C) che definisce come i browser comunicano con dispositivi di autenticazione. È l'"API" che usano i siti web. |
| FIDO2 | L'insieme completo: include WebAuthn più il protocollo CTAP (come il browser parla con la tua YubiKey). Permette il login senza password, non solo come secondo fattore. |
In pratica, quando una YubiKey moderna dice "FIDO2", significa che è compatibile con WebAuthn e può essere usata sia come secondo fattore (come U2F) che come metodo di login completo senza password.
Perché FIDO2 è resistente al phishing
Il motivo per cui FIDO2 ferma il phishing non è solo che usa la crittografia — è che include verifica del dominio (origin binding). Quando registri la tua chiave su un sito web, quella chiave rimane associata esattamente a quel dominio.
⚠️ Cosa succede con un sito web falso
Se qualcuno crea un sito web identico alla tua banca ma con un dominio diverso (ad esempio, "banca-sicura.com" invece di "banca.com"), la tua YubiKey semplicemente non risponde. La chiave verifica il dominio prima di firmare qualsiasi cosa — se non corrisponde, non è possibile nessuna autenticazione. Questo è ciò che rende inutile il phishing tradizionale contro FIDO2: non puoi nemmeno "sbagliarti" inserendo le tue credenziali nel sito falso, perché non ci sono credenziali da inserire.
Questa è la differenza fondamentale rispetto al 2FA via SMS o alle app di autenticazione: questi metodi generano un codice che tu copi e incolla — e quel codice può essere rubato o inserito nel sito sbagliato. FIDO2 elimina completamente quel passaggio.
Quali dispositivi usano FIDO2?
FIDO2 non è esclusivo di YubiKey. Questi sono i dispositivi più comuni che lo supportano:
YubiKey, Google Titan e altre chiavi USB/NFC certificate FIDO2. L'opzione più sicura perché la chiave privata vive in un chip dedicato, isolato dal resto del sistema.
Face ID, impronta digitale su Android o iPhone. Il telefono stesso funge da autenticatore FIDO2, utilizzando il suo chip di sicurezza integrato.
Riconoscimento facciale o impronta su laptop con Windows. Funziona come autenticatore FIDO2 integrato nel sistema operativo.
Se vuoi capire meglio cosa sia fisicamente una chiave di questo tipo, consulta la nostra guida su cos'è una security key e come funziona.
FIDO2 e le passkey — è la stessa cosa?
Non esattamente, ma sono direttamente correlati. Una passkey è una credenziale FIDO2 — usa lo stesso protocollo a chiave pubblica/privata sotto. La differenza è nell'implementazione e nell'esperienza utente:
🔄 La relazione tra i due
FIDO2: il protocollo tecnico — come vengono generate e verificate le chiavi.
Passkey: il nome commerciale che Apple, Google e Microsoft usano per credenziali FIDO2 che inoltre si sincronizzano tra i tuoi dispositivi tramite il cloud (iCloud Keychain, Google Password Manager).
Una YubiKey può anche archiviare passkey — la differenza è che con la chiave fisica la chiave privata non si sincronizza su nessun luogo, rimane fisicamente nel dispositivo.
Domande frequenti
FIDO2 funziona senza internet?
Il processo di firma crittografica avviene localmente sul tuo dispositivo, senza necessità di connessione. Ma per completare l'accesso hai bisogno di connessione al servizio a cui ti autentica — la sfida e la verifica della firma richiedono effettivamente comunicazione con il server.
Posso perdere l'accesso ai miei account se perdo la mia chiave FIDO2?
Se hai solo una chiave registrata e non hai configurato un metodo alternativo, sì. Per questo motivo si consiglia di registrare sempre una seconda chiave di backup su ogni servizio che usi con FIDO2.
Tutti i browser supportano FIDO2?
Sì. Chrome, Firefox, Edge e Safari supportano WebAuthn/FIDO2 nativamente da diversi anni. Non hai bisogno di installare nessuna estensione aggiuntiva.
FIDO2 sostituisce completamente la password?
Può farlo. Quando un servizio implementa FIDO2 come metodo di login completo (non solo come secondo fattore), puoi accedere senza scrivere nessuna password — solo con la tua chiave o la tua biometria. Molti servizi ancora lo offrono solo come 2FA aggiuntivo alla password.
Verdetto
FIDO2 non è una moda tecnica — è il vero cambiamento in come ci autentichiamo
A differenza delle password o dei codici SMS, FIDO2 elimina il dato segreto che viaggia su internet. Non c'è nulla che un attaccante possa rubare da un server o intercettare in transito che gli serva per entrare nel tuo account.
Capire il protocollo non è obbligatorio per usarlo — ma aiuta a capire perché una YubiKey è un investimento in vera sicurezza, non solo un accessorio in più.
POTREBBE INTERESSARTI
Quale YubiKey comprare in base al tuo dispositivo? Guida completa 2026
