Non c’è dubbio: la combinazione tradizionale di username e password è da tempo l’anello debole della sicurezza online. Da anni gli esperti consigliano alle aziende di adottare i passkey per superare le falle delle password classiche, sempre più vulnerabili agli attacchi informatici.
Tuttavia, i ricercatori di Square X hanno presentato al recente DEF CON 33 alcune preoccupanti debolezze dei passkey. Questi punti critici permettono agli hacker di sfruttare i flussi di lavoro e aggirare le protezioni che rendevano i passkey così attraenti, trasformando quello che sembrava un sistema “a prova di proiettile” in una potenziale porta d’ingresso pericolosa.
Come Funzionano I Passkey E Perché Non Sono Invincibili
I passkey controllano l’accesso a piattaforme e dati online attraverso una coppia di chiavi crittografiche: una pubblica e una privata. Consentono l’autenticazione senza esporre informazioni sensibili.
Il meccanismo è questo: quando un utente accede a un sito o a un’app, il servizio conserva la chiave pubblica, mentre la chiave privata resta al sicuro sul dispositivo. Invece di digitare una password, l’utente dimostra la propria identità tramite autenticazione biometrica (impronta digitale o riconoscimento facciale) o tramite PIN del dispositivo. Il sistema verifica quindi la corrispondenza attraverso un “handshake” sicuro tra le due chiavi.
Poiché la chiave privata non lascia mai il dispositivo, gli hacker non possono semplicemente rubarla con un attacco di phishing o di furto di credenziali, rendendo i passkey molto più resistenti agli exploit legati alle password tradizionali. In teoria, solo il tuo dispositivo può “sbloccare” l’accesso.
Il problema nasce se un hacker compromette il browser del dispositivo: a quel punto anche il flusso di lavoro risulta compromesso. Gli attaccanti potrebbero manipolare la comunicazione tra browser e sito/app, intercettando o addirittura prendendo il controllo del processo di autenticazione. È un po’ come avere una serratura ultramoderna sulla porta dell’ufficio, per poi scoprire che il telaio che regge la porta si può facilmente scardinare.
Dovresti Abbandonare I Passkey? Non Così In Fretta
Come ogni strumento di sicurezza, i passkey riducono ma non eliminano i rischi. Rendono semplicemente più difficile rubare o riutilizzare le credenziali. Browser vulnerabili o dispositivi compromessi possono comunque aprire la strada agli hacker, anche davanti a protocolli di crittografia solidi.
La buona notizia è che puoi ancora mantenere sicuro il tuo business, nonostante i punti deboli dei passkey:
- Stratifica le difese: usa l’autenticazione a più fattori (MFA) ovunque sia possibile. Anche se un criminale sfrutta il sistema di passkey, la MFA aggiunge una barriera extra.
- Aggiorna browser e dispositivi: installare subito gli aggiornamenti disponibili permette di correggere rapidamente le vulnerabilità di crittografia.
- Forma il tuo team: l’errore umano resta l’arma preferita degli hacker. Insegna ai dipendenti a riconoscere richieste sospette e possibili tentativi di phishing.
- Usa strumenti affidabili: resta su browser e soluzioni di sicurezza mainstream, che rispondono più velocemente alle nuove minacce.
Integra I Passkey Nella Tua Strategia Di Sicurezza
I passkey rappresentano comunque un passo avanti rispetto alle vecchie password, ma le scoperte di Square X dimostrano che non sono immuni da difetti. Capire queste debolezze e affrontare in modo proattivo i rischi legati a dispositivi compromessi, furto di credenziali e vulnerabilità di crittografia mette la tua azienda in una posizione più solida per difendersi dalle minacce.
Il miglior approccio è trattare i passkey come parte di una strategia di sicurezza più ampia, e non come la bacchetta magica capace di fermare ogni attacco.
📢 Ricordati…
