techfromthenet
  • Home
  • Hardware
  • Mercato
    • Nomine
    • Accordi
    • Attualità
  • Mobile
    • Notebook
    • Smartphone
    • Tablet
  • Networking
  • Sicurezza
    • Software
    • Piattaforme
    • Analisi
  • Software
    • Produttività
    • Sistemi operativi
  • Storage
  • Cloud
  • test
  • Interviste
HomeSicurezzaNews analisiPerché abbandonare la dipendenza da password. Il parere di Sophos

Perché abbandonare la dipendenza da password. Il parere di Sophos

Non dobbiamo dimenticare che i cybercriminali sono sempre impegnati a perfezionare i metodi di attacco.

9 Maggio 2025 Barbara Tomasi
password hacker

Il World Password Day, Sophos ha spiegato i limiti di password e metodi di autenticazione basati sulla conoscenza e quali i metodi alternativi contro il furto di credenziali. Nel corso del 2025, infatti, il ricorso a TTP (Tecniche, Tattiche e Procedure) sofisticate metterà gli autori degli attacchi nella posizione di poter aggirare facilmente i metodi di autenticazione tradizionali. Non è un caso che, per il secondo anno consecutivo, l’edizione 2025 dell’Active Adversary Report di Sophos indichi proprio le credenziali compromesse come la principale causa di attacchi (41% dei casi esaminati). Essenziale dunque che utenti e aziende adottino metodi più robusti per proteggersi.

Password, serve un cambio di paradigma

L’autenticazione duale o multifattore (2FA/MFA) è largamente diffusa. Eppure, come nel caso delle password, questi ulteriori livelli di protezione si affidano spesso alla conoscenza di codici segreti inviati tramite SMS o applicazioni di autenticazione. Molti di questi metodi restano purtroppo vulnerabili. I cybercriminali hanno oggi a disposizione strumenti che, come evilginx2, permettono di aggirare facilmente queste protezioni automatizzando le attività di phishing o la sottrazione dei cookie di sessione. Questo significa che rimandare costantemente, tramite fragili aggiunte, la fine dell’uso delle password è una decisione piena di pericoli.

WebAuthn e chiavi di accesso per un’autenticazione multifattore più solida?

Per proteggersi dal phishing, il protocollo WebAuthn – che usa chiavi di accesso o passkey – trova oggi il consenso degli esperti di cybersicurezza. Con questo metodo viene generata una coppia di chiavi crittografiche, una pubblica e una privata, al momento della creazione di un nuovo account. Le chiavi vengono memorizzate localmente: quella pubblica sul server del sito, la privata sul terminale dell’utente insieme con il nome del sito e il relativo ID utente. Per effettuare il login non occorre più digitare una password o un codice segreto condiviso mediante SMS o applicazione di autenticazione. Il server invia invece una richiesta di autenticazione digitale che può essere soddisfatta solamente se l’utente possiede fisicamente un certo dispositivo ed è in grado di provare il possesso della chiave privata. Come ad esempio tramite una verifica biometrica.

I vantaggi di questo processo di autenticazione

L’autenticazione, dunque, si basa ancora su due fattori. Tuttavia questi non dipendono dalla conoscenza di qualcosa, bensì dal possesso fisico del dispositivo e dalle caratteristiche biometriche dell’utente stesso. Elementi che, in linea di principio, non possono essere sottratti attraverso i tradizionali metodi di phishing. In più questo processo comprende un controllo bidirezionale che permette all’utente di verificare l’identità del servizio attraverso il dominio del sito, inviato quando il server richiede l’autenticazione. A differenza dei metodi basati sulla conoscenza di password e codici segreti, l’utente non è più l’unico obbligato a provare la propria legittimità.

Precauzioni per un’autenticazione robusta e semplificata

Questo nuovo standard di settore, basato sullo standard FIDO2, sembra offrire protezione contro il phishing, principale vettore per i furti di credenziali. Semplificando allo stesso tempo l’autenticazione da parte degli utenti. Per quanto WebAuthn rappresenti un notevole passo avanti, però rimangono ancora diverse vulnerabilità e la necessità di esercitare cautela:

  • è essenziale garantire la sicurezza del dispositivo o del cloud in cui sono memorizzate le chiavi.
  • Il passaggio a WebAuthn richiede l’adozione di questa tecnologia da parte delle aziende.
  • Il furto dei cookie di sessione continua a essere un vettore di attacco capace di aggirare questo tipo di protezione.

Meglio chiavi di accesso o passkey al posto delle password

È importante tenere a mente che i cybercriminali sono costantemente impegnati a perfezionare i loro metodi di attacco. Ecco perché adottare queste tecnologie dovrebbe essere una priorità per la cybersicurezza delle aziende.

Chester Wisniewski, Director, Global Field CISO di Sophos
Dobbiamo abbandonare la dipendenza da password e codici segreti condivisi. Le chiavi di accesso o passkey rappresentano oggi la soluzione più robusta per creare un futuro senza password né phishing. Né, si spera, violazioni di sicurezza su vasta scala.

 

Related Posts:

  • rdp Previsioni Sophos 2020: ransomware, cloud e machine learning
    Lo sfruttamento criminale del protocollo RDP è in crescita
  • Sophos
    Andare a caccia di spie: difesa e controffensiva di Sophos
  • chief information officer
    Chief Information Officer, evoluzione e competenze
  • sicurezza informatica CISO
    Sicurezza informatica, come cambia la figura del CISO?
  • Sophos Firewall
    Sophos Firewall sfrutta Xstream per l'edge computing
  • attacchi IT
    Adottare un’autenticazione avanzata previene gli attacchi IT
  • account
  • codice
  • crittografia
  • cybersicurezza
  • memorizzazione
  • password
  • sicurezza
attacco DDoS Akamai Zero Trust firewallPrecedente

Protezione avanzata con Akamai Firewall for AI

retailSuccessivo

Digitalizzazione del retail: la tecnologia cambia il settore

Ultimi articoli

supply chain

Supply chain planning e la sua gestione in Italia: cosa fanno le aziende

WebDAV

I NAS di ASUSTOR supportati ora dalla tecnologia WebDAV

sicurezza informatica

La nuova sicurezza informatica OT per PMI manifatturiere

router

Più sicurezza e prestazioni con i router e access point DBR

semantic

Open Semantic Interchange, il linguaggio dei dati per l’AI

Focus

supply chain

Supply chain planning e la sua gestione in Italia: cosa fanno le aziende

WebDAV

I NAS di ASUSTOR supportati ora dalla tecnologia WebDAV

sicurezza informatica

La nuova sicurezza informatica OT per PMI manifatturiere

router

Più sicurezza e prestazioni con i router e access point DBR

semantic

Open Semantic Interchange, il linguaggio dei dati per l’AI

Test

Business Asus

Asus ExpertBook B3, autonomia e portabilità business

nas synology

NAS Synology DS725+, l’AI potenzia la collaboration

backup

SanDisk Desk Drive Desktop SSD, backup ultrarapidi

telecamera Wi-Fi D-Link

D-Link DCS6100LHV2, telecamera Wi-Fi per la smart home

synology DP320

Synology DP320, ActiveProtect in “formato piccole imprese”

SCOPRI IL MONDO QNAP

Sicurezza

sicurezza informatica

La nuova sicurezza informatica OT per PMI manifatturiere

dash cam

Dash cam AI Go Focus Plus: -95% di guida rischiosa

cyber resilience

Cyber resilience, la piattaforma AI-powered arriva in Italia

videosorveglianza

Videosorveglianza e sicurezza: come tutelare dati e privacy

cybersecurity Sicurezza

Sicurezza senza compromessi sui dispositivi non gestiti

  • Contatti
  • Redazione
  • Privacy Policy
  • Cookie Policy

Avalon Media srl, via Brioschi, 29 20842 Besana in Brianza. P.Iva: 08119820960