Come passare a un'autenticazione completamente passwordless

1. Introduzione: Perché l'implementazione delle passkey non è il traguardo#

L'implementazione delle passkey rappresenta un passo avanti monumentale nella sicurezza dell'autenticazione, ma non è l'intero percorso. Se hai già distribuito le passkey, probabilmente stai festeggiando il miglioramento delle metriche di sicurezza, ma come si passa concretamente dall'avere le passkey a un'autenticazione completamente passwordless?

Le passkey offrono vantaggi critici per la sicurezza grazie al loro design resistente al phishing che utilizza la crittografia a chiave pubblica vincolata a domini specifici, rendendo impossibile per gli aggressori indurre gli utenti ad autenticarsi su siti fraudolenti. Esse eliminano il riutilizzo delle credenziali, poiché ogni passkey è unica per un servizio specifico, il che significa che la compromissione di un servizio non influisce sugli altri. Inoltre, forniscono immunità agli attacchi di forza bruta sostituendo i segreti memorizzati con chiavi crittografiche che non possono essere indovinate o violate.

Tuttavia, questi potenti vantaggi svaniscono nel momento in cui un utente può aggirare l'autenticazione tramite passkey e accedere con una password. Questo solleva una domanda cruciale: Perché le passkey da sole non sono sufficienti per una sicurezza completa? La risposta sta nel comprendere che, finché la porta della password rimarrà aperta, gli aggressori cercheranno di attraversarla. Ancora più importante è la domanda: cosa rende il recupero dell'account la vulnerabilità nascosta che può minare la tua intera implementazione delle passkey? Recenti e gravi violazioni hanno dimostrato che gli aggressori prendono sempre più di mira i flussi di recupero piuttosto che l'autenticazione primaria.

Questo articolo ti guiderà attraverso l'intero percorso, dall'implementazione delle passkey al raggiungimento di una vera sicurezza passwordless, affrontando ciascuna di queste questioni critiche con soluzioni pratiche ed esempi del mondo reale.

Cosa significa veramente "passwordless"?#

La vera autenticazione passwordless significa eliminare completamente le password dalla tua architettura di sicurezza. In un sistema passwordless, gli utenti non possono impostare, reimpostare o utilizzare le password in nessun momento del loro percorso di autenticazione. Invece, l'autenticazione si basa interamente su metodi crittografici come le passkey.

Molte organizzazioni affermano di essere "passwordless" pur mantenendo le password in background come opzione di fallback. Questo non è un vero passwordless, ma piuttosto solo password opzionali. La distinzione è importante perché, finché le password esistono in qualsiasi punto del tuo sistema, compresi i flussi di recupero, rimangono una vulnerabilità sfruttabile che gli aggressori prenderanno di mira.

2. Le due backdoor che minano la sicurezza delle passkey#

La vera sicurezza passwordless richiede sia l'eliminazione delle password dall'autenticazione primaria SIA la garanzia che i processi di recupero siano altrettanto resistenti al phishing.

2.1 Perché le password come opzione di fallback rappresentano un rischio significativo per la sicurezza#

Mantenere le password come opzione di fallback preserva ogni vettore di attacco che le passkey sono progettate per eliminare. Gli aggressori si limitano a orientare le loro campagne di phishing per prendere di mira l'inserimento della password, mentre gli attacchi di credential stuffing e password spraying continuano utilizzando credenziali rubate da altre violazioni. Il social engineering rimane efficace, poiché gli utenti possono ancora essere ingannati e rivelare le loro password a finti agenti dell'assistenza.

Finché le password esistono, rimangono l'anello debole, un singolo punto di ingresso che elude completamente la sicurezza resistente al phishing delle passkey.

2.2 La backdoor del recupero account#

Anche guardare esclusivamente all'esperienza di accesso non è sufficiente. Un vettore di attacco critico, ma spesso trascurato, è il flusso di recupero dell'account. Perfino le organizzazioni che hanno implementato le passkey possono rimanere vulnerabili se il loro processo di recupero si affida a metodi vulnerabili al phishing come gli OTP via SMS o i magic link via email.

Considera la clamorosa violazione di MGM Resorts nel 2023, dove gli aggressori non hanno preso di mira il sistema di autenticazione primario, ma hanno sfruttato il processo di recupero dell'account tramite social engineering, bypassando tutte le misure di sicurezza primarie. Allo stesso modo, la violazione del sistema di supporto di Okta ha dimostrato come i flussi di recupero possano diventare l'anello debole, consentendo agli aggressori di reimpostare le credenziali e ottenere accessi non autorizzati agli ambienti dei clienti.

Questi incidenti sottolineano una verità cruciale: implementare le passkey senza proteggere il flusso di recupero è come installare una porta blindata lasciando aperte le finestre.

3. Il percorso passwordless#

Raggiungere una vera autenticazione passwordless non è un singolo passo: è un percorso strategico che richiede un'attenta pianificazione, una progettazione ponderata del prodotto e della strategia, un'implementazione graduale e un'ottimizzazione continua:

3.1 Fase 1: Aggiungere le passkey#

La prima fase si concentra sull'introduzione delle passkey come metodo di autenticazione aggiuntivo pur mantenendo le opzioni esistenti come fallback. Questa fase di costruzione delle basi offre agli utenti il tempo di comprendere e fidarsi della nuova tecnologia, mantenendo disponibili i metodi familiari per ridurre gli attriti.

Passaggi chiave per l'implementazione:

• Integra l'autenticazione tramite passkey nel tuo flusso di autenticazione esistente
• Abilita la creazione di passkey per utenti nuovi ed esistenti
• Mantieni le password e gli altri metodi di autenticazione come alternative
• Monitora i tassi di creazione e i modelli di utilizzo delle passkey

Metriche di successo:

• Percentuale di utenti che ha creato almeno una passkey superiore al 50%
• Tasso di successo nella creazione di passkey superiore al 95%
• L'utilizzo iniziale delle passkey per l'autenticazione raggiunge il 20-30%

3.2 Fase 2: Aumentare l'adozione delle passkey#

Una volta che le passkey sono disponibili, l'attenzione si sposta verso lo stimolare l'adozione e rendere le passkey il metodo di autenticazione preferito. Questa fase trasforma le passkey da opzione alternativa alla scelta di autenticazione primaria attraverso un coinvolgimento strategico dell'utente e l'ottimizzazione.

Passaggi chiave per l'implementazione:

• Rendi l'autenticazione tramite passkey l'opzione predefinita nei flussi di accesso
• Implementa prompt intelligenti che incoraggiano la creazione di passkey dopo accessi riusciti con password
• Educa gli utenti sui vantaggi in termini di sicurezza e convenienza tramite messaggi in-app
• Fornisci incentivi per l'adozione delle passkey (checkout più rapido, funzionalità esclusive)
• Effettua test A/B su diversi messaggi e approcci UI per massimizzare la conversione
• Implementa policy di accesso condizionale che richiedono le passkey per operazioni sensibili

Metriche di successo:

• Più del 60% degli utenti attivi possiede almeno una passkey
• Più dell'80% degli accessi utilizza passkey per gli account abilitati
• Tasso di fallimento nella creazione di passkey inferiore al 2%

3.3 Fase 3: Passare al passwordless#

È qui che avviene la vera trasformazione della sicurezza: rimuovere completamente le password per gli utenti che utilizzano costantemente le passkey. Questa fase elimina il vettore di attacco primario disattivando le password per gli utenti che hanno dimostrato un'adozione riuscita delle passkey.

Passaggi chiave per l'implementazione:

• Analizza i modelli di autenticazione degli utenti utilizzando sistemi di monitoraggio intelligenti
• Identifica gli utenti che usano esclusivamente le passkey su più dispositivi pronti per le passkey
• Offri la disattivazione della password con messaggi chiari sui vantaggi per la sicurezza
• Verifica la disponibilità di passkey di backup (sincronizzate sul cloud o su più dispositivi)

Metriche di successo:

• Più del 30% degli utenti idonei rimuove volontariamente le password
• Nessun aumento nei tassi di blocco degli account
• Punteggi di soddisfazione degli utenti mantenuti o migliorati

3.4 Fase 4: Recupero resistente al phishing#

La fase finale affronta l'ultima vulnerabilità: trasformare il recupero dell'account in un processo resistente al phishing. Questa fase garantisce che i flussi di recupero corrispondano al livello di sicurezza dell'autenticazione primaria, prevenendo gli attacchi backdoor.

Passaggi chiave per l'implementazione:

• Implementa un'autenticazione a più fattori con almeno un fattore resistente al phishing
• Fattori resistenti al phishing disponibili:
  • Passkey di backup: passkey di recupero archiviate su dispositivi secondari o servizi cloud che forniscono una prova crittografica dell'identità (l'opzione più ampiamente disponibile)
  • Digital Credentials API: standard W3C per asserzioni di identità verificate crittograficamente da provider affidabili (tecnologia emergente, non ancora molto diffusa)
  • Chiavi di sicurezza hardware: token fisici FIDO2 registrati come fattori di recupero che non possono subire phishing o essere duplicati (richiede agli utenti di acquistare e mantenere dispositivi fisici)
  • Verifica del documento d'identità con liveness detection: Scansione di documenti d'identità (governativi) combinata con azioni biometriche in tempo reale per dimostrare la presenza fisica

Nota sulle opzioni di recupero: sebbene la Digital Credentials API e le chiavi di sicurezza hardware offrano una forte sicurezza, non sono ancora ampiamente adottate: la prima è ancora una tecnologia emergente e la seconda richiede agli utenti l'acquisto di dispositivi fisici.

Quando le passkey di backup non sono disponibili, la verifica del documento d'identità con liveness detection diventa una valida alternativa. Nonostante i potenziali escamotage per aggirare i controlli di vivacità senza il possesso fisico di un documento, questi metodi forniscono comunque una sicurezza significativamente più forte rispetto ai tradizionali OTP, che possono essere facilmente intercettati tramite phishing, SIM swapping o attacchi man-in-the-middle.

Metriche di successo:

• Il 100% dei flussi di recupero include fattori resistenti al phishing
• Nessuna violazione dell'account (account takeover) andata a buon fine attraverso processi di recupero
• Tassi di completamento del recupero mantenuti sopra il 90%

4. Esempi di aziende che hanno iniziato a rimuovere le password#

Il movimento passwordless sta guadagnando slancio nell'industria tecnologica, con le aziende leader che si stanno allontanando dalle password.

4.1 Organizzazioni completamente passwordless#

Diverse aziende hanno già raggiunto la completa eliminazione delle password per le loro operazioni interne. Okta, Yubico e Cloudflare hanno di fatto raggiunto lo zero nell'uso delle password internamente e i loro flussi di accesso non accetteranno affatto le password.

4.2 Aziende in transizione attiva#

I giganti della tecnologia Google, Apple, Microsoft e X stanno attivamente deprecando le password ma non le hanno ancora eliminate del tutto. Il loro approccio bilancia i miglioramenti della sicurezza con la scelta dell'utente durante il periodo di transizione.

Google ha adottato una posizione aggressiva attivando per impostazione predefinita "Salta password se possibile" per tutti gli account, rendendo le passkey il metodo di autenticazione preferito pur consentendo agli utenti di rinunciarvi (opt-out) se necessario. Questo approccio opt-out crea un forte slancio verso il passwordless mantenendo al contempo flessibilità per gli utenti non ancora pronti alla transizione.

Microsoft fa un passo ulteriore consentendo agli utenti di rimuovere completamente le loro password dai propri account fin da oggi, con piani per "rimuovere del tutto il supporto alle password" in futuro. Questa chiara tabella di marcia segnala agli utenti che alle password resta poco tempo, incoraggiando un'adozione precoce dei metodi passwordless.

Apple ha integrato le passkey in tutto il suo ecosistema e ne promuove attivamente l'uso, sebbene le password dell'ID Apple rimangano disponibili come opzione di fallback. Il loro approccio sfrutta la sincronizzazione fluida sui dispositivi Apple per rendere l'adozione delle passkey il più semplice possibile.

Queste aziende non stanno forzando un cambiamento immediato, ma inviano un messaggio chiaro: le password scompariranno una volta che l'adozione avrà raggiunto una massa critica. Le loro strategie implicano rendere le passkey il metodo predefinito, educare gli utenti sui benefici e ridurre gradualmente le funzionalità delle password.

5. Quando dovresti iniziare a rimuovere le password?#

La decisione di rimuovere le password non dovrebbe essere affrettata né applicata universalmente. Adotta invece un approccio graduale basato sui dati che tenga conto del comportamento degli utenti, delle capacità dei dispositivi e dei profili di rischio.

5.1 Chi dovrebbe iniziare immediatamente il percorso passwordless#

I settori ad alto rischio che subiscono oggi gravi attacchi di phishing dovrebbero iniziare immediatamente la transizione passwordless, ma seguendo comunque un'implementazione graduale e strategica:

• Banche e istituzioni finanziarie: obiettivi primari per il furto di credenziali. Per le banche europee, le passkey si allineano anche ai requisiti di autenticazione forte del cliente (SCA) della PSD2, fornendo una MFA resistente al phishing che soddisfa la conformità normativa e migliora l'esperienza dell'utente
• Fornitori di pagamenti e Fintech: l'accesso diretto ai fondi dei clienti li rende attraenti per la criminalità informatica organizzata
• Exchange di criptovalute: le transazioni irreversibili significano che le credenziali rubate portano a perdite permanenti
• Sanità e assicurazioni: affrontano sia requisiti di conformità sia rischi per la sicurezza dei pazienti derivanti dal furto di identità medica
• Governo e infrastrutture critiche: presi di mira da attori state-sponsored con sofisticate campagne di spear-phishing

Per queste organizzazioni, un'azione immediata è fondamentale, ma il successo richiede comunque un approccio di lancio metodico e graduale. Inizia oggi, ma implementa in modo strategico per garantire un'elevata adozione ed evitare di bloccare gli utenti.

5.2 Strategia di lancio graduale#

Inizia con un sottogruppo ristretto: avvia la tua transizione passwordless con gli utenti che dimostrano un utilizzo costante delle passkey. Questi early adopter ti aiuteranno a identificare potenziali problemi prima di una distribuzione più ampia.

Analizza i modelli di comportamento degli utenti:

• Frequenza e metodi di accesso utilizzati
• Tipi di dispositivi e compatibilità con le passkey
• Tentativi di autenticazione falliti
• Utilizzo dei flussi di recupero
• Modelli di autenticazione tra dispositivi diversi

Utenti idonei alla disattivazione della password in base a questi modelli:

• Si autenticano costantemente tramite passkey, dimostrando di avere dimestichezza con la tecnologia
• Usano le passkey su più dispositivi, indicando che dispongono di metodi di accesso di backup
• Non hanno utilizzato password o flussi di recupero negli ultimi 30-60 giorni, dimostrando che non si affidano all'autenticazione basata su password

6. Come Corbado può aiutare#

Corbado fornisce una piattaforma completa per guidare le organizzazioni attraverso tutte e quattro le fasi del percorso passwordless sopra descritte. Dall'implementazione iniziale delle passkey al raggiungimento della completa eliminazione delle password, la soluzione di Corbado gestisce la complessità tecnica fornendo al contempo gli strumenti necessari per una corretta adozione da parte degli utenti.

Supporto per le fasi 1 e 2: Corbado offre una perfetta integrazione delle passkey con gli stack di autenticazione esistenti, prompt intelligenti che massimizzano i tassi di adozione e analisi dettagliate per monitorare i modelli di creazione e utilizzo delle passkey. La funzionalità Passkey Intelligence della piattaforma ottimizza automaticamente l'esperienza utente in base alle capacità del dispositivo e al comportamento dell'utente, garantendo un onboarding fluido.

Implementazione delle fasi 3 e 4: per le organizzazioni pronte a rimuovere completamente le password, Corbado consente la disattivazione graduale della password in base alla preparazione dell'utente, pur mantenendo flussi di recupero sicuri e resistenti al phishing.

Gestendo la compatibilità multipiattaforma, i meccanismi di fallback e l'ottimizzazione dell'esperienza utente, Corbado accelera la trasformazione passwordless da anni a mesi, consentendo alle organizzazioni di concentrarsi sul proprio core business ottenendo al contempo un'autenticazione resistente al phishing.

Conclusione#

Il percorso verso la vera autenticazione passwordless risponde alle due domande cruciali che abbiamo sollevato all'inizio:

Perché le passkey da sole non sono sufficienti per una sicurezza completa? Perché la sicurezza è forte solo quanto il suo anello più debole. Finché le password rimarranno disponibili, anche come fallback, gli aggressori si limiteranno a prenderle di mira tramite phishing, credential stuffing o attacchi di downgrade. Ogni password nel tuo sistema mina i vantaggi in termini di resistenza al phishing offerti dalle passkey.

Cosa rende il recupero dell'account la vulnerabilità nascosta? I flussi di recupero sono spesso la backdoor dimenticata. Come hanno dimostrato le violazioni di MGM Resorts e Okta, gli aggressori bypassano sempre più le robuste implementazioni di passkey sfruttando metodi di recupero più deboli come OTP via SMS o magic link via email. È come installare una porta blindata lasciando aperte le finestre.

La vera sicurezza passwordless richiede di completare l'intero percorso: implementare le passkey, stimolarne l'adozione, rimuovere completamente le password e proteggere i flussi di recupero con metodi resistenti al phishing. Solo chiudendo tutte le porte delle password, comprese quelle nascoste nei processi di recupero, le organizzazioni possono raggiungere un'autenticazione veramente sicura.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →

Domande Frequenti#

Quali segnali indicano che un utente è pronto per la disattivazione della password in un'implementazione passwordless?#

Gli utenti sono idonei alla disattivazione della password quando si autenticano costantemente tramite passkey su più dispositivi e non hanno utilizzato password o flussi di recupero negli ultimi 30-60 giorni. Iniziare la disattivazione con questo gruppo riduce i rischi e aiuta a far emergere eventuali problemi prima di una distribuzione più ampia. La fase 3 punta a far sì che almeno il 30% degli utenti idonei rimuova volontariamente le password.

Quali opzioni resistenti al phishing esistono per il recupero dell'account quando le passkey di backup non sono disponibili?#

Esistono quattro fattori di recupero resistenti al phishing: passkey di backup su dispositivi secondari, chiavi di sicurezza hardware (token fisici FIDO2), la Digital Credentials API (uno standard W3C ancora in fase di sviluppo) e la verifica del documento d'identità con liveness detection. I tradizionali OTP via SMS e i magic link via email rimangono vulnerabili a phishing, SIM swapping e attacchi man-in-the-middle, rendendoli insufficienti per flussi di recupero sicuri.

Perché la violazione di MGM Resorts ha avuto successo nonostante la presenza di un'autenticazione primaria robusta?#

La violazione di MGM Resorts del 2023 ha avuto successo prendendo di mira il processo di recupero dell'account attraverso il social engineering invece del sistema di accesso primario, aggirando completamente tutte le misure di sicurezza principali. Questo dimostra che l'implementazione delle passkey senza proteggere i flussi di recupero lascia aperta una backdoor critica, equivalente a installare una porta blindata lasciando aperte le finestre.

Quali metriche di adozione dovrebbero raggiungere i team prima di passare da un approccio passkey-opzionale alla rimozione completa delle password?#

Prima di entrare nella fase 3, i team dovrebbero raggiungere almeno il 60% degli utenti attivi con almeno una passkey, l'80% o più degli accessi utilizzando passkey per gli account abilitati e un tasso di errore nella creazione delle passkey inferiore al 2%. Il successo della fase 3 si misura con almeno il 30% degli utenti idonei che rimuove volontariamente le password con un aumento nullo dei tassi di blocco degli account.