.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Per decenni, le password sono state il metodo standard per proteggere l’accesso a sistemi e account. Tuttavia, possono essere compromesse o rubate tramite tecniche come attacchi brute-force, phishing e malware infostealer. Il passaggio all’autenticazione a più fattori (MFA) ha aggiunto un ulteriore livello di sicurezza, richiedendo verifiche aggiuntive per confermare l’identità dell’utente – una combinazione di qualcosa che si conosce, si possiede o (nel caso della biometria) si è. Sebbene l’MFA sia più sicura delle sole password, gli attaccanti hanno trovato modi per aggirarla, tra cui attacchi adversary-in-the-middle (AiTM), hijacking di sessione, “MFA fatigue” e tecniche di social engineering per reimpostare o disattivare l’MFA. Le passkey sono state introdotte come soluzione MFA resistente al phishing.
Come funzionano le passkey
Le passkey si basano sulla crittografia a chiave pubblica FIDO2, generando una coppia unica di chiavi pubblica-privata per ogni utente e servizio. La chiave pubblica viene inviata al server, mentre quella privata è memorizzata in un gestore di credenziali (a volte chiamato “sync fabric”) o su una chiave hardware di sicurezza.
Durante l’accesso, il server invia una challenge casuale al dispositivo dell’utente. Quando l’utente fornisce il metodo di verifica configurato (ad esempio biometria o PIN), il dispositivo firma la challenge con la chiave privata. Il server verifica la firma utilizzando la chiave pubblica memorizzata. Nessuna credenziale viene trasmessa, quindi non può essere intercettata da attaccanti o malware. Poiché le passkey sono legate crittograficamente all’origine, il phishing tradizionale (come le pagine di login false) risulta inefficace.
Vantaggi
Le passkey offrono benefici sia alle organizzazioni sia agli utenti. Tra i principali:
Maggiore sicurezza – Sostituire le password con passkey riduce il rischio di attacchi basati su credenziali (brute-force, infostealer, phishing), che possono causare interruzioni operative, costi elevati di ripristino e danni reputazionali.
Comodità e risparmio di tempo – Gli utenti non devono più scegliere, gestire e proteggere password. Non devono neppure capire quando inserire codici o approvare notifiche. Il login è più semplice e veloce, con meno attrito, soprattutto in situazioni critiche o urgenti. L’integrazione con il single sign-on può semplificare ulteriormente l’accesso.
Meno richieste all’help desk – Le passkey non eliminano tutti i problemi di accesso, ma riducono sensibilmente i ticket legati a errori di password, reset, dispositivi di autenticazione smarriti o codici non ricevuti. I team di supporto possono così dedicarsi ad attività più strategiche.
Aspetti da considerare
La maggior parte delle organizzazioni non deve costruire un’infrastruttura passkey da zero. Provider come Microsoft, Google e Okta offrono già supporto nelle loro piattaforme di identità. La scelta riguarda quindi come abilitare e applicare le passkey nell’ecosistema esistente.
Prima di valutare le soluzioni, è fondamentale conoscere bene il proprio ambiente e considerare eventuali impatti sui dispositivi personali dei dipendenti. Alcune soluzioni potrebbero non essere compatibili con tutti i sistemi operativi o con versioni più datate.
È inoltre necessario stabilire dove verranno memorizzate le passkey (su laptop, in password manager cloud o su dispositivi fisici come chiavi hardware) e come recuperare l’accesso in caso di perdita o corruzione.
Va ricordato che, pur essendo molto sicure, le passkey non sono infallibili. È essenziale mantenere buone pratiche di sicurezza: controlli adeguati, audit regolari degli accessi e aggiornamenti costanti dei sistemi. È altrettanto importante formare gli utenti per riconoscere tentativi di social engineering.
Fattori di successo per l’implementazione
Sulla base della nostra esperienza e delle best practice del settore, un’implementazione efficace richiede collaborazione interna, pianificazione e comunicazione chiara. I fattori chiave includono:
- Coinvolgere i team giusti
- Tenere conto dell’esperienza degli utenti
- Spiegare chiaramente i benefici
- Imparare dagli errori passati
- Coinvolgere un gruppo iniziale eterogeneo
- Affrontare le resistenze con dati e rassicurazioni
- Comunicare in modo chiaro e con la giusta frequenza
- Preparare script di supporto e formare i team in anticipo
- Ascoltare il feedback degli utenti
Come possiamo aiutare
Durante la nostra implementazione abbiamo affrontato sfide sia previste sia inattese. Per supportare le organizzazioni che stanno valutando o avviando questo percorso, abbiamo sviluppato una guida operativa completa: include un piano di implementazione, FAQ, un template scaricabile per il rollout e materiali di presentazione.