Il World Password Day, Sophos ha spiegato i limiti di password e metodi di autenticazione basati sulla conoscenza e quali i metodi alternativi contro il furto di credenziali. Nel corso del 2025, infatti, il ricorso a TTP (Tecniche, Tattiche e Procedure) sofisticate metterà gli autori degli attacchi nella posizione di poter aggirare facilmente i metodi di autenticazione tradizionali. Non è un caso che, per il secondo anno consecutivo, l’edizione 2025 dell’Active Adversary Report di Sophos indichi proprio le credenziali compromesse come la principale causa di attacchi (41% dei casi esaminati). Essenziale dunque che utenti e aziende adottino metodi più robusti per proteggersi.
Password, serve un cambio di paradigma
L’autenticazione duale o multifattore (2FA/MFA) è largamente diffusa. Eppure, come nel caso delle password, questi ulteriori livelli di protezione si affidano spesso alla conoscenza di codici segreti inviati tramite SMS o applicazioni di autenticazione. Molti di questi metodi restano purtroppo vulnerabili. I cybercriminali hanno oggi a disposizione strumenti che, come evilginx2, permettono di aggirare facilmente queste protezioni automatizzando le attività di phishing o la sottrazione dei cookie di sessione. Questo significa che rimandare costantemente, tramite fragili aggiunte, la fine dell’uso delle password è una decisione piena di pericoli.
WebAuthn e chiavi di accesso per un’autenticazione multifattore più solida?
Per proteggersi dal phishing, il protocollo WebAuthn – che usa chiavi di accesso o passkey – trova oggi il consenso degli esperti di cybersicurezza. Con questo metodo viene generata una coppia di chiavi crittografiche, una pubblica e una privata, al momento della creazione di un nuovo account. Le chiavi vengono memorizzate localmente: quella pubblica sul server del sito, la privata sul terminale dell’utente insieme con il nome del sito e il relativo ID utente. Per effettuare il login non occorre più digitare una password o un codice segreto condiviso mediante SMS o applicazione di autenticazione. Il server invia invece una richiesta di autenticazione digitale che può essere soddisfatta solamente se l’utente possiede fisicamente un certo dispositivo ed è in grado di provare il possesso della chiave privata. Come ad esempio tramite una verifica biometrica.
I vantaggi di questo processo di autenticazione
L’autenticazione, dunque, si basa ancora su due fattori. Tuttavia questi non dipendono dalla conoscenza di qualcosa, bensì dal possesso fisico del dispositivo e dalle caratteristiche biometriche dell’utente stesso. Elementi che, in linea di principio, non possono essere sottratti attraverso i tradizionali metodi di phishing. In più questo processo comprende un controllo bidirezionale che permette all’utente di verificare l’identità del servizio attraverso il dominio del sito, inviato quando il server richiede l’autenticazione. A differenza dei metodi basati sulla conoscenza di password e codici segreti, l’utente non è più l’unico obbligato a provare la propria legittimità.
Precauzioni per un’autenticazione robusta e semplificata
Questo nuovo standard di settore, basato sullo standard FIDO2, sembra offrire protezione contro il phishing, principale vettore per i furti di credenziali. Semplificando allo stesso tempo l’autenticazione da parte degli utenti. Per quanto WebAuthn rappresenti un notevole passo avanti, però rimangono ancora diverse vulnerabilità e la necessità di esercitare cautela:
è essenziale garantire la sicurezza del dispositivo o del cloud in cui sono memorizzate le chiavi.
Il passaggio a WebAuthn richiede l’adozione di questa tecnologia da parte delle aziende.
Il furto dei cookie di sessione continua a essere un vettore di attacco capace di aggirare questo tipo di protezione.
Meglio chiavi di accesso o passkey al posto delle password
È importante tenere a mente che i cybercriminali sono costantemente impegnati a perfezionare i loro metodi di attacco. Ecco perché adottare queste tecnologie dovrebbe essere una priorità per la cybersicurezza delle aziende.
Chester Wisniewski, Director, Global Field CISO di Sophos Dobbiamo abbandonare la dipendenza da password e codici segreti condivisi. Le chiavi di accesso o passkey rappresentano oggi la soluzione più robusta per creare un futuro senza password né phishing. Né, si spera, violazioni di sicurezza su vasta scala.
