techfromthenet
  • Home
  • Hardware
  • Mercato
    • Nomine
    • Accordi
    • Attualità
  • Mobile
    • Notebook
    • Smartphone
    • Tablet
  • Networking
  • Sicurezza
    • Software
    • Piattaforme
    • Analisi
  • Software
    • Produttività
    • Sistemi operativi
  • Storage
  • Cloud
  • test
  • Interviste
HomeSicurezzaNews analisiPerché abbandonare la dipendenza da password. Il parere di Sophos

Perché abbandonare la dipendenza da password. Il parere di Sophos

Non dobbiamo dimenticare che i cybercriminali sono sempre impegnati a perfezionare i metodi di attacco.

9 Maggio 2025 Barbara Tomasi
password hacker

Il World Password Day, Sophos ha spiegato i limiti di password e metodi di autenticazione basati sulla conoscenza e quali i metodi alternativi contro il furto di credenziali. Nel corso del 2025, infatti, il ricorso a TTP (Tecniche, Tattiche e Procedure) sofisticate metterà gli autori degli attacchi nella posizione di poter aggirare facilmente i metodi di autenticazione tradizionali. Non è un caso che, per il secondo anno consecutivo, l’edizione 2025 dell’Active Adversary Report di Sophos indichi proprio le credenziali compromesse come la principale causa di attacchi (41% dei casi esaminati). Essenziale dunque che utenti e aziende adottino metodi più robusti per proteggersi.

Password, serve un cambio di paradigma

L’autenticazione duale o multifattore (2FA/MFA) è largamente diffusa. Eppure, come nel caso delle password, questi ulteriori livelli di protezione si affidano spesso alla conoscenza di codici segreti inviati tramite SMS o applicazioni di autenticazione. Molti di questi metodi restano purtroppo vulnerabili. I cybercriminali hanno oggi a disposizione strumenti che, come evilginx2, permettono di aggirare facilmente queste protezioni automatizzando le attività di phishing o la sottrazione dei cookie di sessione. Questo significa che rimandare costantemente, tramite fragili aggiunte, la fine dell’uso delle password è una decisione piena di pericoli.

WebAuthn e chiavi di accesso per un’autenticazione multifattore più solida?

Per proteggersi dal phishing, il protocollo WebAuthn – che usa chiavi di accesso o passkey – trova oggi il consenso degli esperti di cybersicurezza. Con questo metodo viene generata una coppia di chiavi crittografiche, una pubblica e una privata, al momento della creazione di un nuovo account. Le chiavi vengono memorizzate localmente: quella pubblica sul server del sito, la privata sul terminale dell’utente insieme con il nome del sito e il relativo ID utente. Per effettuare il login non occorre più digitare una password o un codice segreto condiviso mediante SMS o applicazione di autenticazione. Il server invia invece una richiesta di autenticazione digitale che può essere soddisfatta solamente se l’utente possiede fisicamente un certo dispositivo ed è in grado di provare il possesso della chiave privata. Come ad esempio tramite una verifica biometrica.

I vantaggi di questo processo di autenticazione

L’autenticazione, dunque, si basa ancora su due fattori. Tuttavia questi non dipendono dalla conoscenza di qualcosa, bensì dal possesso fisico del dispositivo e dalle caratteristiche biometriche dell’utente stesso. Elementi che, in linea di principio, non possono essere sottratti attraverso i tradizionali metodi di phishing. In più questo processo comprende un controllo bidirezionale che permette all’utente di verificare l’identità del servizio attraverso il dominio del sito, inviato quando il server richiede l’autenticazione. A differenza dei metodi basati sulla conoscenza di password e codici segreti, l’utente non è più l’unico obbligato a provare la propria legittimità.

Precauzioni per un’autenticazione robusta e semplificata

Questo nuovo standard di settore, basato sullo standard FIDO2, sembra offrire protezione contro il phishing, principale vettore per i furti di credenziali. Semplificando allo stesso tempo l’autenticazione da parte degli utenti. Per quanto WebAuthn rappresenti un notevole passo avanti, però rimangono ancora diverse vulnerabilità e la necessità di esercitare cautela:

  • è essenziale garantire la sicurezza del dispositivo o del cloud in cui sono memorizzate le chiavi.
  • Il passaggio a WebAuthn richiede l’adozione di questa tecnologia da parte delle aziende.
  • Il furto dei cookie di sessione continua a essere un vettore di attacco capace di aggirare questo tipo di protezione.

Meglio chiavi di accesso o passkey al posto delle password

È importante tenere a mente che i cybercriminali sono costantemente impegnati a perfezionare i loro metodi di attacco. Ecco perché adottare queste tecnologie dovrebbe essere una priorità per la cybersicurezza delle aziende.

Chester Wisniewski, Director, Global Field CISO di Sophos
Dobbiamo abbandonare la dipendenza da password e codici segreti condivisi. Le chiavi di accesso o passkey rappresentano oggi la soluzione più robusta per creare un futuro senza password né phishing. Né, si spera, violazioni di sicurezza su vasta scala.

 

Related Posts:

  • rdp Previsioni Sophos 2020: ransomware, cloud e machine learning
    Lo sfruttamento criminale del protocollo RDP è in crescita
  • Sophos
    Andare a caccia di spie: difesa e controffensiva di Sophos
  • Sophos Firewall
    Sophos Firewall sfrutta Xstream per l'edge computing
  • sophos
    Sophos con Tenable lancia la soluzione "Managed Risk"
  • chief information officer
    Chief Information Officer, evoluzione e competenze
  • attacchi IT
    Adottare un’autenticazione avanzata previene gli attacchi IT
  • account
  • codice
  • crittografia
  • cybersicurezza
  • memorizzazione
  • password
  • sicurezza
attacco DDoS Akamai Zero Trust firewallPrecedente

Protezione avanzata con Akamai Firewall for AI

retailSuccessivo

Digitalizzazione del retail: la tecnologia cambia il settore

ULTIMI ARTICOLI

Storage disaggregato

Storage disaggregato, IA e SDS il focus di Western Digital

cybersicurezza

Yarix, la cybersicurezza e l’importanza della prevenzione

customer experience

Impresoft Engage, la customer experience con l’intelligenza artificiale

investimento

Apptio trasforma la spesa IT in investimento strategico

intelligenza artificiale

L’innovazione dell’intelligenza artificiale di Dell Technologies

FOCUS

intelligenza artificiale

Intelligenza artificiale: il motore turbo per le aziende

lavoro ibrido

Lavoro ibrido e digital workplace per le aziende PMI

industry 5.0

Industry 5.0 e Smart Factory: soluzioni e progetti

data center

La trasformazione dei data center, tra AI e sostenibilità

lavoro ibrido smart working

Smart working e digital workplace anche per le PMI

SPECIALE SICUREZZA

cybersicurezza

Yarix, la cybersicurezza e l’importanza della prevenzione

intelligenza artificiale

Intelligenza artificiale potenziata con Red Hat

bonifici falsi

Bonifici falsi o sospetti: come evitare le truffe?

sicurezza informatica

ConfSec 2025, sicurezza informatica al centro

attacchi ransomware nozomi networks Malware

Crescono gli attacchi IT contro i marchi più amati dalle famiglie

SCOPRI IL MONDO QNAP

TEST

videosorveglianza

Synology CC400W, videosorveglianza con intelligenza artificiale

nas qnap

NAS QNAP TS-h765eU, edge storage a profondità ridotta

NAS Synology

NAS Synology DS224+, storage compatto entry-level

Notebook Asus

ExpertBook P5, il notebook Asus leggero e potente per il business

Kingston backup

Kingston XS2000, storage mobile veloce e ultracompatto

TECH

investimento

Apptio trasforma la spesa IT in investimento strategico

wi-fi

I campus universitari In-Domus scelgono il Wi-Fi Omada

DaaS

DaaS, Fleet semplifica la gestione del parco IT

virtual machine

Come facilitare la migrazione delle virtual machine

notebook Acer

Notebook Acer, l’intelligenza artificiale deve essere per tutti

  • Contatti
  • Redazione
  • Privacy Policy
  • Cookie Policy

Avalon Media srl, via Brioschi, 29 20842 Besana in Brianza. P.Iva: 08119820960