Come passare a un'autenticazione completamente passwordless

Implementare le passkey rappresenta un enorme passo avanti per la sicurezza dell'autenticazione, ma non è la fine del percorso. Se abbiamo già introdotto le passkey, probabilmente stiamo celebrando il miglioramento delle [metriche di sicurezza], ma come si passa effettivamente dall'avere le passkey a un'autenticazione completamente passwordless?

Le passkey offrono vantaggi cruciali per la sicurezza grazie al loro [design resistente al phishing] basato sulla crittografia a chiave pubblica legata a domini specifici, rendendo impossibile per gli aggressori ingannare gli utenti per farli autenticare su siti fraudolenti. Eliminano il riutilizzo delle credenziali, poiché ogni passkey è unica per un servizio specifico, il che significa che una violazione di un servizio non influisce sugli altri. Inoltre, offrono immunità agli attacchi di tipo brute-force, sostituendo i segreti memorizzati con chiavi crittografiche che non possono essere indovinate o forzate.

Tuttavia, questi potenti vantaggi svaniscono nel momento in cui un utente può aggirare l'autenticazione con passkey e accedere con una password. Questo solleva una domanda cruciale: Perché le passkey da sole non bastano per una sicurezza completa? La risposta sta nel capire che finché la porta della password rimane aperta, gli aggressori cercheranno di attraversarla. Ancora più importante è la domanda, cosa rende il recupero dell'account la vulnerabilità nascosta che può compromettere l'intera implementazione delle passkey? Recenti violazioni di alto profilo hanno dimostrato che gli aggressori prendono sempre più di mira i flussi di recupero piuttosto che l'autenticazione primaria.

Questo articolo guiderà attraverso l'intero percorso, dall'implementazione delle passkey al raggiungimento di una vera sicurezza passwordless, affrontando ciascuna di queste domande critiche con soluzioni pratiche ed esempi reali.

La vera autenticazione passwordless significa eliminare completamente le password dalla propria architettura di sicurezza. In un sistema passwordless, gli utenti non possono impostare, reimpostare o utilizzare password in nessun punto del loro percorso di autenticazione. L'autenticazione si basa invece interamente su metodi crittografici come le passkey.

Molte organizzazioni affermano di essere "passwordless" pur mantenendo le password in background come opzione di riserva. Questa non è una vera soluzione passwordless, ma piuttosto una soluzione "password-optional" (con password opzionale). La distinzione è importante perché finché le password esistono in un sistema, compresi i flussi di recupero, rimangono una vulnerabilità sfruttabile che gli aggressori prenderanno di mira.

La vera sicurezza passwordless richiede sia l'eliminazione delle password dall'autenticazione primaria SIA la garanzia che i processi di recupero siano altrettanto resistenti al [phishing].

Mantenere le password come opzione di riserva preserva tutti i vettori di attacco che le passkey sono state progettate per eliminare. Gli aggressori semplicemente reindirizzano le loro campagne di [phishing] verso l'inserimento della password, mentre gli attacchi di [credential stuffing] e password spraying continuano utilizzando credenziali rubate da altre violazioni. L'ingegneria sociale rimane efficace, poiché gli utenti possono ancora essere ingannati e indotti a rivelare le password a finti agenti di supporto.

Finché esistono, le password rimangono l'anello più debole, un singolo punto di ingresso che aggira completamente la sicurezza resistente al [phishing] delle passkey.

Guardare solo all'esperienza di login non è sufficiente. Un vettore di attacco critico ma spesso trascurato è il flusso di recupero dell'account. Anche le organizzazioni che hanno implementato le passkey possono rimanere vulnerabili se il loro processo di recupero si basa su metodi suscettibili di phishing come OTP via SMS o magic link via e-mail.

Consideriamo la nota violazione di MGM Resorts nel 2023, dove gli aggressori non hanno preso di mira il sistema di autenticazione primario, ma hanno sfruttato il processo di recupero dell'account attraverso l'ingegneria sociale, bypassando tutte le misure di sicurezza primarie. Allo stesso modo, la violazione del sistema di supporto di Okta ha dimostrato come i flussi di recupero possano diventare l'anello più debole, consentendo agli aggressori di reimpostare le credenziali e ottenere l'accesso non autorizzato agli ambienti dei clienti.

Questi incidenti sottolineano una verità cruciale: implementare le passkey senza proteggere il flusso di recupero è come installare una porta d'acciaio lasciando le finestre aperte.

Raggiungere una vera [autenticazione passwordless] non è un singolo passo, ma un percorso strategico che richiede un'attenta pianificazione, un'implementazione graduale e un'ottimizzazione continua:

La prima fase si concentra sull'introduzione delle passkey come metodo di autenticazione aggiuntivo, mantenendo le opzioni esistenti come alternative. Questa fase di costruzione delle fondamenta consente agli utenti di comprendere e fidarsi della nuova tecnologia, mantenendo disponibili i metodi familiari per ridurre l'attrito.

Passaggi chiave per l'implementazione:

• [Integrare l'autenticazione con passkey nel flusso di autenticazione esistente]
• Abilitare la [creazione di passkey per utenti nuovi ed esistenti]
• Mantenere password e altri metodi di autenticazione come alternative
• Monitorare i tassi di [creazione di passkey] e i modelli di utilizzo

Metriche di successo:

• Percentuale di utenti che hanno creato almeno una passkey superiore al 50%
• Tasso di successo della [creazione di passkey] superiore al 95%
• Utilizzo iniziale delle passkey per l'autenticazione che raggiunge il 20-30%

Una volta che le passkey sono disponibili, l'attenzione si sposta sull'incentivare l'adozione e rendere le passkey il metodo di autenticazione preferito. Questa fase trasforma le passkey da un'opzione alternativa alla scelta di autenticazione primaria attraverso un coinvolgimento strategico dell'utente e l'ottimizzazione.

Passaggi chiave per l'implementazione:

• Rendere l'autenticazione con passkey l'[opzione predefinita nei flussi di login]
• Implementare [prompt intelligenti] che incoraggino la [creazione di passkey] dopo accessi con password andati a buon fine
• Educare gli utenti sui benefici di sicurezza e convenienza attraverso messaggi in-app
• Fornire incentivi per l'[adozione delle passkey] (checkout più rapido, funzionalità esclusive)
• Eseguire A/B test su diversi messaggi e approcci UI per massimizzare la conversione
• Implementare policy di accesso condizionale che richiedono passkey per operazioni sensibili

Metriche di successo:

• Oltre il 60% degli utenti attivi con almeno una passkey
• Oltre l'80% degli accessi effettuati con passkey per gli account abilitati
• Tasso di fallimento nella creazione di passkey inferiore al 2%

È qui che avviene la vera trasformazione della sicurezza: rimuovere completamente le password per gli utenti che utilizzano costantemente le passkey. Questa fase elimina il principale vettore di attacco disattivando le password per gli utenti che hanno dimostrato un'[adozione delle passkey] di successo.

Passaggi chiave per l'implementazione:

• Analizzare i modelli di autenticazione degli utenti utilizzando [sistemi di monitoraggio intelligenti]
• Identificare gli utenti che utilizzano esclusivamente passkey con più dispositivi compatibili
• Offrire la disattivazione della password con messaggi chiari sui benefici per la sicurezza
• Verificare la [disponibilità di passkey] di backup (sincronizzate nel cloud o su più dispositivi)

Metriche di successo:

• Oltre il 30% degli utenti idonei che rimuovono volontariamente le password
• Nessun aumento dei tassi di blocco dell'account
• Punteggi di soddisfazione utente mantenuti o migliorati

La fase finale affronta l'ultima [vulnerabilità]: trasformare il recupero dell'account in un processo resistente al phishing. Questa fase garantisce che i flussi di recupero corrispondano al livello di sicurezza dell'autenticazione primaria, prevenendo attacchi tramite punti deboli.

Passaggi chiave per l'implementazione:

• Implementare l'autenticazione a più fattori con almeno un fattore resistente al phishing
• Fattori resistenti al phishing disponibili:
  • Passkey di backup: Passkey di recupero memorizzate su dispositivi secondari или servizi cloud che forniscono una prova crittografica dell'identità (l'opzione più diffusa)
  • [Digital Credentials API]: Standard W3C per [asserzioni] di identità verificate crittograficamente da provider attendibili (tecnologia emergente, non ancora diffusa)
  • Chiavi di sicurezza hardware: Token fisici [FIDO2] registrati come fattori di recupero che non possono essere oggetto di phishing o duplicati (richiede agli utenti di acquistare e mantenere dispositivi fisici)
  • Verifica dei documenti d'identità con Liveness Detection: Scansione di un ID [governativo] combinata con azioni biometriche in tempo reale per dimostrare la presenza fisica

Nota sulle opzioni di recupero: Sebbene le [Digital Credentials API] e le [chiavi di sicurezza hardware] offrano una forte sicurezza, non sono ancora ampiamente adottate; la prima è una tecnologia emergente, mentre la seconda richiede agli utenti di acquistare dispositivi fisici.

Quando le passkey di backup non sono disponibili, la [verifica dei documenti] d'identità con liveness detection diventa un'alternativa valida. Nonostante i potenziali workaround per aggirare i controlli di liveness senza il possesso fisico di un ID, questi metodi forniscono comunque una sicurezza significativamente più forte rispetto agli OTP tradizionali, che possono essere facilmente intercettati tramite phishing, [SIM swapping] o attacchi man-in-the-middle.

Metriche di successo:

• 100% dei flussi di recupero include fattori resistenti al phishing
• Zero acquisizioni di account riuscite attraverso i processi di recupero
• Tassi di completamento del recupero mantenuti sopra il 90%

Il movimento passwordless sta guadagnando terreno in tutto il settore tecnologico, con le aziende leader che si stanno allontanando dalle password.

Diverse aziende hanno già eliminato completamente le password per le loro operazioni interne. Okta, Yubico e Cloudflare hanno di fatto raggiunto l'azzeramento dell'uso delle password internamente e i loro flussi di login non accettano più le password.

I giganti della tecnologia Google, Apple, Microsoft e X stanno attivamente deprecando le password, ma non le hanno eliminate del tutto. Il loro approccio bilancia i miglioramenti della sicurezza con la scelta dell'utente durante il periodo di transizione.

Google ha adottato una posizione aggressiva attivando di default l'opzione "Salta la password quando possibile" per tutti gli account, rendendo le passkey il metodo di autenticazione preferito, pur consentendo agli utenti di disattivarla se necessario. Questo approccio opt-out crea un forte slancio verso il passwordless, mantenendo al contempo la flessibilità per gli utenti non ancora pronti alla transizione.

Microsoft fa un passo avanti, consentendo agli utenti di rimuovere completamente le password dai loro account già da oggi, con l'intenzione di "rimuovere del tutto il supporto alle password in futuro". Questa chiara roadmap segnala agli utenti che le password hanno i giorni contati, incoraggiando l'adozione anticipata di metodi passwordless.

Apple ha integrato le passkey in tutto il suo ecosistema e ne promuove attivamente l'uso, sebbene le password dell'ID Apple rimangano disponibili come opzione di riserva. Il loro approccio sfrutta la sincronizzazione fluida tra i dispositivi Apple per rendere l'[adozione delle passkey] il più semplice possibile.

Queste aziende non stanno forzando un cambiamento immediato, ma stanno inviando un messaggio chiaro: le password scompariranno una volta che l'adozione raggiungerà una massa critica. Le loro strategie prevedono di rendere le passkey l'opzione predefinita, educare gli utenti sui benefici e ridurre gradualmente la funzionalità delle password.

La decisione di rimuovere le password non dovrebbe essere affrettata o applicata universalmente. Invece, è meglio adottare un approccio graduale e basato sui dati che consideri il comportamento degli utenti, le capacità dei dispositivi e i profili di rischio.

I settori ad alto rischio che oggi subiscono gravi attacchi di phishing dovrebbero iniziare immediatamente la loro transizione al passwordless, seguendo comunque un'implementazione strategica e graduale:

• Banche e istituti finanziari: Obiettivi primari per il furto di credenziali. Per le banche europee, le passkey si allineano anche ai [requisiti di Strong Customer Authentication (SCA) della PSD2], fornendo un'autenticazione a più fattori (MFA) resistente al phishing che soddisfa la [conformità normativa] migliorando l'esperienza utente.
• Fornitori di servizi di pagamento e Fintech: L'accesso diretto ai fondi dei clienti li rende attraenti per la criminalità informatica organizzata.
• Exchange di criptovalute: Le transazioni irreversibili significano che le credenziali rubate portano a perdite permanenti.
• Sanità e assicurazioni: Affrontano sia requisiti di conformità sia rischi per la sicurezza dei pazienti derivanti dal furto di identità medica.
• Governo e infrastrutture critiche: Bersagli di attori statali con sofisticate campagne di spear-phishing.

Per queste organizzazioni, un'azione immediata è fondamentale, ma il successo richiede comunque un approccio di implementazione metodico e graduale. Iniziare oggi, ma implementare strategicamente per garantire un'elevata adozione ed evitare il blocco degli utenti.

Iniziare con un sottogruppo più piccolo: Avviare la transizione al passwordless con gli utenti che dimostrano un uso costante delle passkey. Questi early adopter aiuteranno a identificare potenziali problemi prima di un'implementazione più ampia.

Analizzare i modelli di comportamento degli utenti:

• Frequenza di login e metodi utilizzati
• Tipi di dispositivi e compatibilità delle passkey
• Tentativi di autenticazione falliti
• Utilizzo del flusso di recupero
• Modelli di autenticazione tra dispositivi diversi

Utenti idonei alla disattivazione della password in base a questi modelli:

• Si autenticano costantemente tramite passkey, dimostrando di essere a proprio agio con la tecnologia
• Utilizzano passkey su più dispositivi, indicando di avere metodi di accesso di backup
• Non hanno utilizzato password o flussi di recupero negli ultimi 30-60 giorni, dimostrando di non fare affidamento sull'autenticazione basata su password

Corbado fornisce una piattaforma completa per guidare le organizzazioni attraverso tutte e quattro le fasi del percorso passwordless descritto sopra. Dall'implementazione iniziale delle passkey al raggiungimento della completa eliminazione delle password, la soluzione di Corbado gestisce la complessità tecnica fornendo al contempo gli strumenti necessari per un'adozione di successo da parte degli utenti.

Supporto per le Fasi 1 e 2: Corbado offre un'[integrazione fluida delle passkey] con gli stack di autenticazione esistenti, prompt intelligenti che massimizzano i tassi di adozione e analisi dettagliate per monitorare la creazione e l'utilizzo delle passkey. La funzione [Passkey Intelligence] della piattaforma ottimizza automaticamente l'esperienza utente in base alle capacità del dispositivo и al comportamento dell'utente, garantendo un onboarding senza intoppi.

Implementazione delle Fasi 3 e 4: Per le organizzazioni pronte a eliminare completamente le password, Corbado consente la disattivazione graduale delle password in base alla prontezza dell'utente, mantenendo al contempo flussi di recupero sicuri e resistenti al phishing.

Gestendo la compatibilità multipiattaforma, i meccanismi di fallback e l'ottimizzazione dell'esperienza utente, Corbado accelera la trasformazione passwordless da anni a mesi, consentendo alle organizzazioni di concentrarsi sul loro core business raggiungendo al contempo un'autenticazione resistente al phishing.

Il viaggio verso una vera [autenticazione passwordless] risponde alle due domande critiche che abbiamo posto all'inizio:

Perché le passkey da sole non bastano per una sicurezza completa? Perché la sicurezza è forte solo quanto il suo anello più debole. Finché le password rimangono disponibili, anche come opzione di riserva, gli aggressori si limiteranno a prenderle di mira tramite phishing, [credential stuffing] o attacchi di downgrade. Ogni password nel sistema compromette i benefici di resistenza al phishing delle passkey.

Cosa rende il recupero dell'account la vulnerabilità nascosta? I flussi di recupero sono spesso la porta di servizio dimenticata. Come hanno dimostrato le violazioni di MGM Resorts e Okta, gli aggressori bypassano sempre più le robuste implementazioni di passkey sfruttando metodi di recupero più deboli come OTP via SMS o magic link via e-mail. È come installare una porta d'acciaio lasciando le finestre aperte.

La vera sicurezza passwordless richiede di completare l'intero percorso: implementare le passkey, incentivarne l'adozione, rimuovere completamente le password e proteggere i flussi di recupero con metodi resistenti al phishing. Solo chiudendo tutte le porte delle password, comprese quelle nascoste nei processi di recupero, le organizzazioni possono raggiungere un'autenticazione veramente sicura.