techfromthenet
  • Home
  • Hardware
  • Mercato
    • Nomine
    • Accordi
    • Attualità
  • Mobile
    • Notebook
    • Smartphone
    • Tablet
  • Networking
  • Sicurezza
    • Software
    • Piattaforme
    • Analisi
  • Software
    • Produttività
    • Sistemi operativi
  • Storage
  • Cloud
  • test
  • Interviste
HomeSicurezzaNews analisiPerché abbandonare la dipendenza da password. Il parere di Sophos

Perché abbandonare la dipendenza da password. Il parere di Sophos

Non dobbiamo dimenticare che i cybercriminali sono sempre impegnati a perfezionare i metodi di attacco.

9 Maggio 2025 Barbara Tomasi
password hacker

Il World Password Day, Sophos ha spiegato i limiti di password e metodi di autenticazione basati sulla conoscenza e quali i metodi alternativi contro il furto di credenziali. Nel corso del 2025, infatti, il ricorso a TTP (Tecniche, Tattiche e Procedure) sofisticate metterà gli autori degli attacchi nella posizione di poter aggirare facilmente i metodi di autenticazione tradizionali. Non è un caso che, per il secondo anno consecutivo, l’edizione 2025 dell’Active Adversary Report di Sophos indichi proprio le credenziali compromesse come la principale causa di attacchi (41% dei casi esaminati). Essenziale dunque che utenti e aziende adottino metodi più robusti per proteggersi.

Password, serve un cambio di paradigma

L’autenticazione duale o multifattore (2FA/MFA) è largamente diffusa. Eppure, come nel caso delle password, questi ulteriori livelli di protezione si affidano spesso alla conoscenza di codici segreti inviati tramite SMS o applicazioni di autenticazione. Molti di questi metodi restano purtroppo vulnerabili. I cybercriminali hanno oggi a disposizione strumenti che, come evilginx2, permettono di aggirare facilmente queste protezioni automatizzando le attività di phishing o la sottrazione dei cookie di sessione. Questo significa che rimandare costantemente, tramite fragili aggiunte, la fine dell’uso delle password è una decisione piena di pericoli.

WebAuthn e chiavi di accesso per un’autenticazione multifattore più solida?

Per proteggersi dal phishing, il protocollo WebAuthn – che usa chiavi di accesso o passkey – trova oggi il consenso degli esperti di cybersicurezza. Con questo metodo viene generata una coppia di chiavi crittografiche, una pubblica e una privata, al momento della creazione di un nuovo account. Le chiavi vengono memorizzate localmente: quella pubblica sul server del sito, la privata sul terminale dell’utente insieme con il nome del sito e il relativo ID utente. Per effettuare il login non occorre più digitare una password o un codice segreto condiviso mediante SMS o applicazione di autenticazione. Il server invia invece una richiesta di autenticazione digitale che può essere soddisfatta solamente se l’utente possiede fisicamente un certo dispositivo ed è in grado di provare il possesso della chiave privata. Come ad esempio tramite una verifica biometrica.

I vantaggi di questo processo di autenticazione

L’autenticazione, dunque, si basa ancora su due fattori. Tuttavia questi non dipendono dalla conoscenza di qualcosa, bensì dal possesso fisico del dispositivo e dalle caratteristiche biometriche dell’utente stesso. Elementi che, in linea di principio, non possono essere sottratti attraverso i tradizionali metodi di phishing. In più questo processo comprende un controllo bidirezionale che permette all’utente di verificare l’identità del servizio attraverso il dominio del sito, inviato quando il server richiede l’autenticazione. A differenza dei metodi basati sulla conoscenza di password e codici segreti, l’utente non è più l’unico obbligato a provare la propria legittimità.

Precauzioni per un’autenticazione robusta e semplificata

Questo nuovo standard di settore, basato sullo standard FIDO2, sembra offrire protezione contro il phishing, principale vettore per i furti di credenziali. Semplificando allo stesso tempo l’autenticazione da parte degli utenti. Per quanto WebAuthn rappresenti un notevole passo avanti, però rimangono ancora diverse vulnerabilità e la necessità di esercitare cautela:

  • è essenziale garantire la sicurezza del dispositivo o del cloud in cui sono memorizzate le chiavi.
  • Il passaggio a WebAuthn richiede l’adozione di questa tecnologia da parte delle aziende.
  • Il furto dei cookie di sessione continua a essere un vettore di attacco capace di aggirare questo tipo di protezione.

Meglio chiavi di accesso o passkey al posto delle password

È importante tenere a mente che i cybercriminali sono costantemente impegnati a perfezionare i loro metodi di attacco. Ecco perché adottare queste tecnologie dovrebbe essere una priorità per la cybersicurezza delle aziende.

Chester Wisniewski, Director, Global Field CISO di Sophos
Dobbiamo abbandonare la dipendenza da password e codici segreti condivisi. Le chiavi di accesso o passkey rappresentano oggi la soluzione più robusta per creare un futuro senza password né phishing. Né, si spera, violazioni di sicurezza su vasta scala.

 

Related Posts:

  • rdp Previsioni Sophos 2020: ransomware, cloud e machine learning
    Lo sfruttamento criminale del protocollo RDP è in crescita
  • chief information officer
    Chief Information Officer, evoluzione e competenze
  • Sophos
    Andare a caccia di spie: difesa e controffensiva di Sophos
  • Active Directory
    Conoscere le basi per sapere come proteggere Active…
  • sicurezza informatica CISO
    Sicurezza informatica, come cambia la figura del CISO?
  • attacchi IT
    Adottare un’autenticazione avanzata previene gli attacchi IT
  • account
  • codice
  • crittografia
  • cybersicurezza
  • memorizzazione
  • password
  • sicurezza
attacco DDoS Akamai Zero Trust firewallPrecedente

Protezione avanzata con Akamai Firewall for AI

ULTIMI ARTICOLI

password hacker

Perché abbandonare la dipendenza da password. Il parere di Sophos

attacco DDoS Akamai Zero Trust firewall

Protezione avanzata con Akamai Firewall for AI

videosorveglianza

Videosorveglianza smart con QNAP e VCA Technology

eCommerce

4eCom2025: eCommerce, tra AI e sostenibilità

intelligenza artificiale

SB Italia: l’intelligenza artificiale diventa strategica e sostenibile

FOCUS

intelligenza artificiale

Intelligenza artificiale: il motore turbo per le aziende

lavoro ibrido

Lavoro ibrido e digital workplace per le aziende PMI

industry 5.0

Industry 5.0 e Smart Factory: soluzioni e progetti

data center

La trasformazione dei data center, tra AI e sostenibilità

lavoro ibrido smart working

Smart working e digital workplace anche per le PMI

SPECIALE SICUREZZA

password hacker

Perché abbandonare la dipendenza da password. Il parere di Sophos

videosorveglianza

Videosorveglianza smart con QNAP e VCA Technology

intelligenza artificiale

Intelligenza artificiale nelle tecnologie EDR e XDR

Cybersecurity

Cybersecurity: la decima edizione di ConfSec, il 13 giugno a Bari

crisi

Semperis Ready1 rivoluziona la gestione delle crisi informatiche

SCOPRI IL MONDO QNAP

TEST

videosorveglianza

Synology CC400W, videosorveglianza con intelligenza artificiale

nas qnap

NAS QNAP TS-h765eU, edge storage a profondità ridotta

NAS Synology

NAS Synology DS224+, storage compatto entry-level

Notebook Asus

ExpertBook P5, il notebook Asus leggero e potente per il business

Kingston backup

Kingston XS2000, storage mobile veloce e ultracompatto

TECH

Data center

Data center: Italia potenziale hub tecnologico in Europa

data center

Data center, la vision di Vertiv sulla loro evoluzione

prefabbricate

Nasce Vertiv SmartRun, infrastrutture prefabbricate overhead

sicurezza

Mondialpol, sicurezza e conformità normativa con Synology

videosorveglianza

Toshiba testa affidabilità ed efficienza dei suoi HDD di sorveglianza

  • Contatti
  • Redazione
  • Privacy Policy
  • Cookie Policy

Avalon Media srl, via Brioschi, 29 20842 Besana in Brianza. P.Iva: 08119820960