Passkeys: la fine delle password o l’inizio di nuovi attacchi?

Le passkeys offrono una soluzione sicura per le password, ma richiedono una gestione adeguata per evitare nuove sfide. Scopri come gestire l'identità digitale e proteggere i tuoi account

C’è una storia che gira da un po’ nei convegni di cybersecurity: le passkeys risolveranno il problema delle password.

Le passkeys, basate su FIDO2 e WebAuthn, sono tecnicamente migliori delle password praticamente sotto ogni aspetto. Resistono al phishing, eliminano i segreti condivisi, usano crittografia asimmetrica. Il fatto è che la tecnologia, da sola, non risolve quasi mai il problema.

Quando utilizzi le passkeys, il tuo telefono diventa il tuo passaporto. Finché ce l’hai, tutto funziona, il giorno che lo perdi, te lo rubano o semplicemente lo rompi, scopri che recuperare l’accesso ai tuoi account non è così semplice. Qui entrano in gioco i processi di recovery ed emerge, molto evidente, la differenza tra un sistema ben pensato e uno improvvisato.

Negli ultimi anni abbiamo visto diversi attacchi passare, non da exploit tecnici ma da persone e procedure. Il caso MGM è diventato famoso proprio per questo. Un gruppo di hacker ha chiamato l’help desk dell’hotel fingendosi un dipendente bloccato fuori dal proprio account. Dieci minuti di conversazione, qualche informazione trovata sui social e il supporto tecnico ha reimpostato le credenziali senza fare troppe domande, con un danno stimato di oltre 100 milioni di dollari. Tutto questo non è stato altro che il risultato di una buona ingegneria sociale e le passkeys rendono questa dinamica ancora più rilevante.

In questo contesto è importante anche il tema del lock-in, di cui si parla meno di quanto si dovrebbe. Le passkeys sincronizzate funzionano bene finché resti dentro un ecosistema coerente, Apple, Google o Microsoft. Il problema è che nelle aziende, soprattutto quelle italiane, gli ecosistemi coerenti sono l’eccezione, non la regola. iPhone personale con Google Workspace aziendale, utenti che cambiano telefono, dispositivi misti, bastano questi scenari, normalissimi e che sicuramente avrete già visto o vissuto di persona, per trasformare una migrazione ordinata in un percorso a ostacoli.
Adottare le passkeys senza aver prima risposto ad alcune domande basilari significa partire già in ritardo. Chi gestisce i dispositivi?

Chi verifica l’identità di chi chiama il supporto?

Cosa succede quando un dipendente lascia l’azienda?

Finché queste risposte non ci sono, la serratura nuova non serve a molto. Piattaforme di Identity e Access Management, i famosi IAM e/o CIAM, nascono proprio per governare al meglio questi scenari, gestendo il ciclo di vita completo dell’identità digitale di ogni dipendente.

Dal primo giorno di lavoro, quando gli vengono assegnati accessi e dispositivi, all’ultimo, quando tutto viene revocato in modo automatico e tracciato. Nel mezzo gestisce eventuali cambi di ruolo, i dispositivi persi o danneggiati, le richieste di recovery e i tentativi di accesso anomali, imponendo regole chiare su chi può sbloccare cosa, quando e dopo quali verifiche.

Lo IAM, come tutte le soluzioni di management e sicurezza informatica, non è un prodotto che si compra e si dimentica, è l’infrastruttura su cui poggia tutto il resto, passkeys incluse.

Ambra Santoro

Laureata in sociologia urbanistica, pensava di cambiare le città, ma la passione l’ha portata nella cybersecurity. Oggi è Channel Sales Manager in un distributore a valore e racconta come la sicurezza digitale stia trasformando persone e organizzazioni.