Questa pagina è stata tradotta automaticamente. Leggi la versione originale in inglese qui.
Whitepaper Passkey enterprise. Guide pratiche, pattern di distribuzione e KPI per programmi passkey.
L'autenticazione a più fattori (Multi-Factor Authentication, MFA) è passata in modo decisivo dall'essere una funzionalità di sicurezza per utenti proattivi a una realtà non negoziabile e obbligatoria per le organizzazioni di tutto il mondo. Questa trasformazione non è guidata dalla scelta ma dalla necessità, alimentata dagli implacabili attacchi informatici basati sulle credenziali e dalla crescente pressione normativa. Settori che vanno dai servizi finanziari al settore pubblico operano ora sotto quadri normativi che rendono l'MFA una base per la conformità. Questa nuova era, in cui l'MFA è imposta piuttosto che offerta, introduce una cascata di sfide complesse che si estendono ben oltre l'implementazione tecnica iniziale.
Quando ogni utente deve usare l'MFA, emerge una nuova serie di domande cruciali a cui ogni organizzazione deve rispondere. Questo articolo esplorerà a fondo queste sfide, fornendo un chiaro percorso da seguire. Affronteremo:
Quali sono i costi operativi nascosti e le insidie dell'esperienza utente nell'applicare l'MFA su larga scala?
Quando viene data loro una scelta, quali metodi MFA adottano effettivamente gli utenti e quali rischi per la sicurezza crea questo fatto?
In che modo il recupero dell'account diventa la nuova sfida principale in un ambiente in cui è obbligatoria l'MFA e quali sono i compromessi nel risolverla?
Perché le passkey sono la soluzione strategica ai problemi stessi creati dagli obblighi MFA e non solo un'altra opzione?
Qual è un piano d'azione pratico e passo passo per passare con successo dall'MFA legacy obbligatoria alla sicurezza superiore e all'esperienza utente delle passkey?
Questa analisi fornirà un piano d'azione chiaro e attuabile per una transizione di successo dall'autenticazione a singolo fattore all'MFA obbligatoria (e alle passkey obbligatorie).
Prima di esplorare le sfide dell'applicazione, è fondamentale stabilire una chiara comprensione del panorama dell'autenticazione e del motivo per cui gli obblighi lo alterano radicalmente. La terminologia stessa può essere fonte di confusione, ma le distinzioni sono fondamentali per qualsiasi strategia di sicurezza o di prodotto.
L'evoluzione dell'autenticazione è una risposta diretta alla debolezza intrinseca della sua forma più elementare.
Autenticazione a singolo fattore (SFA): La familiare combinazione di nome utente e password. Si basa su un singolo fattore di "conoscenza", qualcosa che l'utente sa. La sua vulnerabilità al phishing, al credential stuffing e agli attacchi di forza bruta è il motore principale per metodi più solidi.
Verifica in due passaggi (2SV): Spesso usata in modo intercambiabile con MFA, la 2SV è un processo distinto e più debole. Richiede due passaggi di verifica ma può utilizzare due fattori della stessa categoria. Un esempio comune è una password seguita da una domanda di sicurezza, entrambi i quali sono fattori di "conoscenza". Sebbene sia migliore della SFA, non soddisfa i criteri per una vera sicurezza multi-fattore.
Autenticazione a più fattori (MFA): Lo standard di sicurezza per eccellenza, l'MFA richiede la verifica da almeno due diverse categorie di fattori di autenticazione. Le tre categorie principali sono:
Conoscenza: Qualcosa che l'utente sa (ad es., una password, un PIN).
Possesso: Qualcosa che l'utente ha (ad es., un telefono cellulare che riceve un codice, una chiave di sicurezza hardware).
Inerenza: Qualcosa che l'utente è (ad es., un'impronta digitale, il riconoscimento facciale).
La transizione da MFA opzionale a obbligatoria è un cambio di paradigma. Un sistema opzionale consente un'adozione graduale da parte degli utenti più attenti alla sicurezza, nascondendo i veri punti di attrito. Un obbligo forza l'intera base di utenti, da quelli esperti di tecnologia a quelli avversi, sul nuovo sistema simultaneamente, esponendo ogni difetto nell'esperienza utente e nella struttura di supporto.
Questo cambiamento è stato accelerato da catalizzatori normativi in tutto il mondo. In particolare, la seconda direttiva sui servizi di pagamento europea (Payment Services Directive 2, PSD2) e il suo requisito per la Strong Customer Authentication (SCA) hanno ridisegnato profondamente il panorama dei pagamenti europei rendendo obbligatoria l'MFA per la maggior parte delle transazioni online. Obbligando gli istituti finanziari ad adottare API aperte e una maggiore sicurezza, la PSD2 fornisce un enorme caso di studio nel mondo reale sull'autenticazione imposta.
L'obiettivo principale della SCA era ridurre le frodi richiedendo due fattori di autenticazione indipendenti per i pagamenti elettronici. Tuttavia, il rilascio iniziale ha creato un attrito significativo, con alcuni commercianti europei che hanno perso quasi il 40% delle transazioni a causa della confusione degli utenti e dell'abbandono del carrello. Nel tempo, l'ecosistema si è adattato e un rapporto dell'agosto 2024 della Banca Centrale Europea ha confermato che le transazioni autenticate tramite SCA ora presentano tassi di frode significativamente più bassi. Ciò dimostra il vantaggio per la sicurezza a lungo termine, ma evidenzia anche la necessità critica di bilanciare la sicurezza con l'esperienza dell'utente.
Uno slancio normativo simile si sta costruendo a livello globale. In Australia, il settore finanziario opera sotto il quadro normativo CPS 234 della Australian Prudential Regulation Authority, che stabilisce gli standard di sicurezza per le istituzioni finanziarie. A seguito di un'ondata di attacchi di credential stuffing all'inizio del 2025, l'APRA ha scritto a tutti i consigli di amministrazione dei fondi pensione (superannuation), aspettandosi esplicitamente che implementassero l'MFA o protezioni equivalenti per le attività ad alto rischio. L'ente di regolamentazione ha notato che circa il 20% degli incidenti informatici nel settore finanziario australiano erano attacchi di credential stuffing, rendendo l'MFA un controllo critico. Separatamente, il settore delle telecomunicazioni australiano affronta l'obbligo di MFA per tutte le transazioni ad alto rischio dei clienti secondo la Customer Identity Authentication Determination 2022 dell'Australian Communications and Media Authority. Questa regola richiede agli operatori di utilizzare l'MFA per i SIM swap, la reimpostazione delle password e l'aggiunta di servizi in seguito a casi di alto profilo di frode tramite SIM swapping.
Sebbene questi obblighi creino inizialmente attrito, producono anche un ambiente di educazione di massa involontaria. Quando a milioni di utenti viene richiesto dalle proprie banche di approvare una transazione con un'impronta digitale o un codice, familiarizzano con il concetto di un secondo fattore. Questa normalizzazione, guidata dalla regolamentazione, paradossalmente spiana la strada per altre organizzazioni. La conversazione può evolvere da "Cos'è l'MFA e perché ne ho bisogno?" a "Ecco il nostro nuovo modo, più semplice, per eseguire il passaggio di sicurezza che già conosci". Questo crea la base perfetta per introdurre un'esperienza superiore come le passkey.
Se vuoi leggere di più sulle specificità di queste normative e sulla loro relazione con le passkey, puoi esplorare queste risorse:
Cosa significano i requisiti SCA per le passkey
Passkey PSD2: MFA resistente al phishing e conforme alla PSD2
Implicazioni di SD3 / PSR per le passkey
Autenticazione delegata e passkey sotto PSD3 / PSR
Mentre i quadri normativi guidano l'adozione proattiva dell'MFA, gli incidenti di sicurezza scatenano spesso gli obblighi più urgenti e visibili. Quando un'organizzazione subisce una violazione, il percorso verso l'MFA obbligatoria diventa non una questione di pianificazione della conformità, ma una risposta immediata a una crisi.
Il settore pensionistico (superannuation) australiano ha vissuto questo in termini netti nel marzo 2025. In una sofisticata campagna di credential stuffing, i criminali informatici hanno utilizzato combinazioni di nome utente e password rubate da violazioni esterne per attaccare sistematicamente gli account dei fondi pensione. Secondo i report di Reuters e ABC News, AustralianSuper, il più grande fondo del paese con oltre 3 milioni di membri, ha confermato che gli aggressori hanno effettuato l'accesso a fino a 600 account dei membri e sono riusciti a prelevare 500.000 AUD dai saldi di quattro membri prima che l'attacco fosse rilevato. L'incidente si è diffuso a più fondi, con Rest Super che ha rilevato attività sospette in circa 20.000 account e Insignia Financial che ha segnalato tentativi su circa 100 account.
Il vettore d'attacco era un classico credential stuffing: tentativi di accesso automatizzati utilizzando credenziali raccolte da violazioni di dati non correlate. Gli esperti di sicurezza intervistati da ABC News hanno descritto l'attacco come "non sofisticato", notando che il suo successo era interamente attribuibile all'assenza dell'MFA. In un netto contrasto, HostPlus, un altro fondo importante, ha segnalato zero perdite finanziarie dalla stessa campagna specificamente perché aveva già implementato l'MFA per gli account dei membri. Questo confronto nel mondo reale ha fornito prove inequivocabili del valore protettivo dell'MFA.
Prima della violazione, i clienti di AustralianSuper avevano richiesto esplicitamente l'MFA come opzione di sicurezza, ma erano stati informati che non era disponibile. A seguito dell'incidente, il fondo ha immediatamente bloccato gli account interessati e accelerato l'implementazione dell'MFA. La lettera successiva dell'APRA a tutti i presidenti dei consigli di amministrazione delle superannuation ha chiarito l'aspettativa normativa: implementare l'MFA era ora un obbligo urgente, non una considerazione futura.
Gli obblighi post-violazione emergono anche da campagne di phishing che compromettono le credenziali organizzative. A marzo 2020, Service NSW, un portale di servizi del governo statale, ha subito un attacco di phishing che ha esposto 736 GB di dati, compromettendo le informazioni personali di circa 103.000 clienti. Gli investigatori hanno identificato l'assenza dell'MFA sugli account email del personale come un contributo chiave alla gravità della violazione. In risposta, Service NSW ha implementato l'MFA su tutti i sistemi email esterni e, entro agosto 2021, l'aveva abilitata sul 95% dei sistemi rivolti all'esterno, supportata da un investimento nella sicurezza di 5 milioni di AUD. A seguito della separata violazione di dati delle telecomunicazioni di Optus del 2022, Service NSW ha ampliato ulteriormente i suoi sforzi, testando e quindi rendendo obbligatoria l'MFA per tutti i titolari di account MyServiceNSW entro il 2026.
Questi incidenti illustrano un modello critico: le violazioni creano pressioni politiche e operative che scavalcano i cicli di pianificazione graduale tipici della conformità proattiva. La domanda si sposta da "Dovremmo rendere obbligatoria l'MFA?" a "Quanto velocemente possiamo implementarla?". Questa tempistica compressa aggrava spesso i problemi di esperienza utente e operativi discussi più avanti in questo articolo, rendendo la scelta del metodo MFA e la progettazione del rilascio ancora più consequenziali.
L'applicazione dell'MFA sull'intera base di utenti fa emergere una serie di sfide pratiche che vengono spesso sottovalutate durante la pianificazione iniziale. Questi problemi incidono sull'esperienza utente, sul livello di sicurezza e sui costi operativi.
Quando l'iscrizione è obbligatoria, una scarsa esperienza utente non è più solo un fastidio; diventa un ostacolo diretto alle operazioni aziendali. Le organizzazioni di solito scelgono tra due strategie: iscrizione forzata, che richiede la configurazione dell'MFA al successivo accesso, o iscrizione progressiva, che invita gli utenti nel tempo. Sebbene l'iscrizione forzata ottenga la conformità più rapidamente, rischia di generare maggiore frustrazione e abbandono da parte degli utenti se il processo non è fluido. Il successo dipende dall'adesione alle best practice di UX, come l'offerta di più metodi di autenticazione, la fornitura di istruzioni chiare e la garanzia dell'accessibilità per tutti gli utenti, ad esempio fornendo una chiave segreta testuale insieme a un codice QR per le app di autenticazione.
Una volta che l'MFA è attiva su un account, perdere un secondo fattore significa essere completamente tagliati fuori. In un mondo di obblighi, questo non è un incidente isolato per pochi utenti attenti alla sicurezza; diventa una sfida critica e diffusa per l'intera base di utenti e i team di supporto che li servono. Questo rende il recupero dell'account la sfida principale in assoluto.
La posta in gioco finanziaria è alta: un singolo ripristino della password o dell'MFA guidato dall'helpdesk può costare a un'azienda una media di 70 dollari. Per un'organizzazione con centinaia di migliaia di utenti, anche una piccola percentuale che necessita di recupero può tradursi in milioni di dollari di costi operativi e perdita di produttività.
Le organizzazioni si trovano di fronte a un difficile compromesso tra sicurezza, costi e comodità:
Recupero guidato dall'helpdesk: Un operatore di supporto può verificare l'identità dell'utente tramite una videochiamata o altri mezzi. Questo è un processo sicuro e verificato da esseri umani, ma è proibitivamente costoso e lento da scalare, rendendolo insostenibile per la maggior parte delle aziende.
Recupero tramite email/SMS: Questo è il metodo più comune a causa del suo basso costo e della familiarità dell'utente. Tuttavia, è anche una vulnerabilità di sicurezza critica. Se un aggressore ha già compromesso l'account email di un utente, un precursore comune ad altri attacchi, può facilmente intercettare il codice di recupero e bypassare del tutto l'MFA. Questo metodo annulla di fatto i vantaggi di sicurezza che l'obbligo intendeva fornire.
Codici di backup pre-registrati: Agli utenti viene fornita una serie di codici di backup monouso durante l'iscrizione. Sebbene sia più sicuro del recupero tramite email, questo approccio aggiunge attrito alla configurazione iniziale. Inoltre, gli utenti spesso non riescono a conservare questi codici in modo sicuro o li perdono, il che li riporta in ultima analisi allo stesso problema del blocco.
Verifica con Selfie e Documento: Questo metodo ad alta garanzia richiede all'utente di scattare un selfie dal vivo e una foto di un documento d'identità rilasciato dal governo (come una patente di guida o un passaporto). Sistemi basati sull'IA abbinano quindi il viso al documento d'identità per confermare l'identità. Pur essendo comune nel settore bancario e nei servizi finanziari in cui l'identità viene verificata durante l'onboarding, solleva problemi di privacy per alcuni utenti e richiede loro di avere il documento fisico a portata di mano.
Credenziali digitali e wallet: Un'opzione emergente e rivolta al futuro prevede l'uso di credenziali digitali verificabili archiviate in un digital wallet. Un utente potrebbe presentare una credenziale da un emittente fidato (come un governo o una banca) per dimostrare la propria identità senza passare attraverso un flusso di recupero specifico del servizio. Questo metodo è ancora nelle sue fasi iniziali, ma punta a un futuro di verifica dell'identità più portatile e controllata dall'utente.
Un punto di errore frequente e critico in qualsiasi sistema MFA è il ciclo di vita del dispositivo. Quando un utente acquista un nuovo telefono, la continuità del suo metodo di autenticazione è fondamentale.
SMS: Questo metodo è relativamente portatile, in quanto un numero di telefono può essere trasferito su un nuovo dispositivo tramite una nuova scheda SIM. Tuttavia, proprio questo processo è il vettore d'attacco sfruttato negli attacchi di SIM-swapping, in cui un truffatore convince un operatore mobile a trasferire il numero della vittima su una SIM da lui controllata.
App di autenticazione (TOTP): Questa è un'importante fonte di attrito per l'utente. A meno che l'utente non abbia attivato in modo proattivo una funzionalità di backup su cloud all'interno della sua app di autenticazione (una funzionalità che non è universale e non viene sempre utilizzata), le chiavi segrete che generano i codici vanno perse con il vecchio dispositivo. Ciò costringe l'utente a un processo completo, e spesso doloroso, di recupero dell'account per ogni singolo servizio che aveva protetto.
Notifiche push: Simile alle app TOTP, l'MFA basata su push è legata all'installazione di una specifica app su un dispositivo registrato. Un nuovo telefono richiede una nuova iscrizione, innescando le stesse sfide di recupero.
Quando un'organizzazione impone l'MFA e offre una scelta di metodi, emerge un modello prevedibile: oltre il 95% degli utenti gravita verso ciò che è più familiare e percepito come più semplice, che spesso sono le passcode monouso (OTP) basate su SMS. Questo comportamento crea un paradosso. Un CISO può imporre l'MFA per migliorare la sicurezza. Tuttavia, se molti utenti continuano a fare affidamento su un metodo vulnerabile al phishing come gli SMS, l'organizzazione può raggiungere il 100% di conformità senza migliorare materialmente le proprie difese contro attacchi sofisticati.
Le violazioni delle superannuation australiane del marzo 2025 hanno fornito prove nette e reali di questo problema. In quell'incidente, l'assenza di qualsiasi MFA è stata la vulnerabilità decisiva. Tuttavia, la lezione più ampia si estende oltre il sistema binario di "MFA o non MFA" per arrivare alla qualità dell'MFA implementata. Le organizzazioni che offrono solo l'MFA basata su SMS come opzione primaria o unica rimangono vulnerabili ad attacchi di phishing, ingegneria sociale e SIM-swapping. Gli aggressori nel caso australiano hanno sfruttato credenziali deboli; se quegli account fossero stati "protetti" solo da OTP via SMS, gli aggressori con accesso agli account email compromessi avrebbero potuto potenzialmente intercettare i flussi di reimpostazione della password e attivare SIM swap per eludere anche quel fattore.
Riconoscendo ciò, piattaforme come Microsoft hanno introdotto la "MFA preferita dal sistema", che spinge attivamente gli utenti verso opzioni più sicure come le app di autenticazione anziché gli SMS o le chiamate vocali. Ciò evidenzia una lezione critica: il semplice obbligo di usare l'MFA è insufficiente. Il tipo di MFA conta profondamente e le organizzazioni devono allontanare attivamente gli utenti da fattori più deboli e soggetti a phishing.
La decisione di rendere obbligatoria l'MFA ha un impatto diretto e misurabile sulle risorse operative. Inevitabilmente innesca un'impennata di ticket all'helpdesk relativi a problemi di iscrizione, autenticatori persi e richieste di recupero. Le ricerche di Gartner indicano che il 30-50% di tutte le chiamate di supporto IT riguarda già problemi legati alle password; l'MFA obbligatoria, specialmente se abbinata a flussi di recupero complessi, aggrava notevolmente questo onere. Ciò si traduce in costi diretti che i CTO e i Project Manager devono anticipare. Inoltre, l'helpdesk stesso diventa un bersaglio primario per gli attacchi di ingegneria sociale, in cui gli aggressori si spacciano per utenti frustrati e bloccati fuori, per indurre gli agenti del supporto a ripristinare i fattori MFA per loro conto.
L'esame di implementazioni nel mondo reale e su larga scala di MFA obbligatoria fornisce lezioni preziose su ciò che funziona e ciò che crea attriti significativi. Analizzando le esperienze sia dai lanci normativi proattivi come la PSD2 in Europa sia dai mandati reattivi, post-violazione, nel settore finanziario australiano, possiamo estrarre diverse verità universali.
L'attrito iniziale è inevitabile, ma gestibile: Il rilascio della SCA europea ha dimostrato che forzare un cambiamento importante nel comportamento degli utenti, anche per motivi di sicurezza, danneggerà inizialmente i tassi di conversione. Tuttavia, ha anche dimostrato che con processi perfezionati e con l'abitudine degli utenti, questi effetti negativi possono essere mitigati nel tempo. La chiave è anticipare questo attrito e progettare il flusso più snello e user-friendly possibile fin dall'inizio.
La scelta dell'utente è un'arma a doppio taglio: Quando vengono fornite opzioni, gli utenti scelgono costantemente il percorso di minor resistenza, il che spesso significa selezionare metodi MFA familiari ma meno sicuri come gli SMS. Ciò porta a uno stato di "teatro della conformità", in cui l'organizzazione soddisfa la lettera del mandato ma non il suo spirito, rimanendo vulnerabile al phishing. Gli attacchi alle superannuation australiane del marzo 2025 hanno dimostrato questo principio al contrario: le organizzazioni senza alcuna MFA hanno subito perdite significative, mentre quelle con una MFA anche solo di base (come HostPlus) hanno impedito i furti finanziari. Tuttavia, la lezione si estende oltre; implementazioni di MFA deboli basate esclusivamente su SMS rimangono vulnerabili agli aggressori determinati che possono sfruttare i SIM swap e l'ingegneria sociale. Una strategia di successo deve guidare attivamente gli utenti verso opzioni più forti e resistenti al phishing.
Il recupero diventa il tallone d'Achille: In un mondo con obblighi, il recupero dell'account si trasforma da un caso limite in un onere operativo primario e in una vulnerabilità di sicurezza critica. Fare affidamento su email o SMS per il recupero compromette l'intero modello di sicurezza, mentre il recupero guidato dall'helpdesk è finanziariamente insostenibile. Un processo di recupero robusto, sicuro e intuitivo per l'utente non è un pensiero secondario; è un requisito fondamentale per qualsiasi mandato di successo.
I mandati post-violazione comprimono le tempistiche e amplificano i rischi: Quando gli obblighi sono attivati da un incidente di sicurezza anziché da un'iniziativa di conformità pianificata, la tempistica di implementazione si riduce drasticamente. Il settore delle superannuation australiane è passato da "clienti che richiedono l'MFA" a "regolatori che si aspettano l'implementazione immediata" a poche settimane dalla violazione. Questo calendario accelerato lascia meno spazio ai test degli utenti, ai rilasci graduali e all'affinamento iterativo, rendendo la scelta della tecnologia e del design dell'esperienza utente ancora più critica. Le organizzazioni che implementano proattivamente l'MFA prima di una violazione hanno il lusso di una pianificazione accurata; quelle costrette a reagire dopo un incidente non ce l'hanno.
I rilasci graduali riducono drasticamente i rischi: Tentare un rilascio in stile "big bang" per un'intera base di utenti è una strategia ad alto rischio. Un approccio più prudente, collaudato in grandi implementazioni aziendali, consiste nel testare prima il nuovo sistema con gruppi di utenti più piccoli e non critici. Ciò consente al team di progetto di identificare e risolvere i bug, affinare l'esperienza utente e raccogliere feedback in un ambiente controllato prima di un'implementazione su vasta scala.
Una piattaforma di identità centralizzata è un potente facilitatore: Le organizzazioni con una piattaforma IAM (Identity and Access Management) o SSO (Single Sign-On) centralizzata preesistente sono in una posizione di gran lunga migliore per un rilascio fluido. Un sistema di identità centrale consente l'applicazione rapida e coerente di nuove politiche di autenticazione su centinaia o migliaia di applicazioni, riducendo significativamente la complessità e il costo del progetto.
Iscriviti al nostro Substack sulle passkey per le ultime novità.
Le passkey, basate sullo standard WebAuthn della FIDO Alliance, non sono solo un miglioramento incrementale rispetto all'MFA legacy. La loro architettura sottostante, basata sulla crittografia a chiave pubblica, è costruita appositamente per risolvere i problemi più dolorosi e persistenti creati dagli obblighi MFA.
Risoluzione dell'incubo del recupero: La sfida più grande dell'MFA obbligatoria è il recupero dell'account. Le passkey affrontano questo problema in modo diretto. Una passkey è una credenziale crittografica che può essere sincronizzata sui dispositivi di un utente attraverso l'ecosistema della sua piattaforma (come il Portachiavi iCloud di Apple o il Gestore delle password di Google). Se un utente perde il telefono, la passkey è ancora disponibile sul suo laptop o tablet. Ciò riduce drasticamente la frequenza dei blocchi e diminuisce la dipendenza da canali di recupero non sicuri come l'email o da costosi interventi dell'helpdesk.
Risoluzione del problema del ciclo di vita del dispositivo: Poiché le passkey sono sincronizzate, l'esperienza di ottenere un nuovo dispositivo viene trasformata da un momento di grande attrito a una transizione senza soluzione di continuità. Quando un utente accede al proprio account Google o Apple su un nuovo telefono, le sue passkey vengono ripristinate automaticamente e sono pronte all'uso. Ciò elimina il doloroso processo di re-iscrizione per ogni app richiesto dalle tradizionali app di autenticazione associate al dispositivo.
Risoluzione del paradosso della preferenza dell'utente: Le passkey risolvono il classico compromesso tra sicurezza e convenienza. Il metodo di autenticazione più sicuro disponibile, la crittografia a chiave pubblica resistente al phishing, è anche il più veloce e semplice per l'utente. Tutto ciò che serve è un singolo gesto biometrico o il PIN del dispositivo. Non vi è alcun incentivo per un utente a scegliere un'opzione più debole e meno sicura, perché l'opzione più forte è anche la più conveniente.
Risoluzione della vulnerabilità al phishing: Le passkey sono resistenti al phishing per progettazione. La coppia di chiavi crittografiche creata durante la registrazione è vincolata all'origine (origin-binding) specifica del sito web o dell'app (ad es. corbado.com). Un utente non può essere indotto con l'inganno a utilizzare la sua passkey su un sito di phishing simile (ad es. corbado.scam.com) perché il browser e il sistema operativo riconosceranno la mancata corrispondenza dell'origine e si rifiuteranno di eseguire l'autenticazione. Ciò fornisce una garanzia di sicurezza fondamentale che nessun metodo basato su segreti condivisi (come password o OTP) può offrire.
Risoluzione della stanchezza da MFA (MFA Fatigue): Una singola e semplice azione dell'utente, come la scansione con Face ID o il tocco dell'impronta digitale, dimostra contemporaneamente il possesso della chiave crittografica sul dispositivo ("qualcosa che si ha") e l'inerenza tramite la biometria ("qualcosa che si è"). All'utente appare come un unico passaggio privo di sforzo, ma in termini crittografici soddisfa il requisito per l'autenticazione a più fattori. Ciò consente alle organizzazioni di soddisfare rigorosi standard di conformità senza aggiungere i passaggi aggiuntivi e il carico cognitivo associati all'MFA legacy.
Il passaggio dall'MFA legacy a una strategia basata primariamente sulle passkey (passkey-first) richiede un approccio deliberato e articolato in più fasi che affronti la tecnologia, l'esperienza utente e gli obiettivi di business.
Prima di poter rendere obbligatorie le passkey, devi comprendere la capacità tecnica della tua base di utenti di adottarle. Questo è un primo passo critico per valutare la fattibilità e i tempi di un rilascio.
Analizza il tuo panorama di dispositivi: Usa gli strumenti di analisi web esistenti per raccogliere dati sui sistemi operativi (versioni di iOS, Android, Windows) e sui browser preferiti dai tuoi utenti.
Distribuisci uno strumento di preparazione alle passkey: Per dati più precisi, una risorsa dati leggera come State of Passkeys fornisce informazioni sulla percentuale di utenti i cui dispositivi supportano gli autenticatori di piattaforma (come Face ID, Touch ID e Windows Hello) e miglioramenti UX cruciali come la Conditional UI, che consente il riempimento automatico delle passkey (passkey autofill). Questi dati sono essenziali per costruire un modello di adozione realistico.
La transizione alle passkey sarà graduale, non istantanea. Una strategia di successo richiede un sistema ibrido che promuova le passkey come metodo principale e preferito, fornendo al contempo un fallback sicuro per gli utenti con dispositivi incompatibili o per coloro che non si sono ancora iscritti.
Scegli un modello di integrazione:
Identifier-First: L'utente inserisce la sua email o il nome utente. Il sistema verifica quindi se è registrata una passkey per quell'identificatore e, in tal caso, avvia il flusso di accesso tramite passkey. In caso contrario, passa in modo trasparente (fallback) a una password o a un altro metodo sicuro. Questo approccio offre la migliore esperienza utente e in genere porta a tassi di adozione più elevati.
Pulsante passkey dedicato: Un pulsante "Accedi con una passkey" è posizionato accanto al tradizionale modulo di accesso. È più semplice da implementare, ma sposta l'onere sull'utente di selezionare il nuovo metodo, il che può comportare un utilizzo inferiore.
Assicurati che i fallback siano sicuri: Il tuo meccanismo di fallback non deve minare i tuoi obiettivi di sicurezza. Evita di ripiegare su metodi insicuri come le OTP via SMS. Un'alternativa più solida consiste nell'utilizzare un codice monouso sensibile al tempo o un link magico inviato all'indirizzo email verificato dell'utente, che funge da fattore di possesso per una sessione specifica.
Una comunicazione efficace è fondamentale per un rilascio fluido. L'obiettivo è presentare le passkey non come un'ulteriore seccatura per la sicurezza, ma come un significativo aggiornamento dell'esperienza dell'utente.
Messaggistica orientata ai vantaggi: Usa un linguaggio chiaro e semplice che si concentri sui vantaggi per l'utente: "Accedi in modo più rapido e sicuro", "Di' addio alle password dimenticate" e "La tua impronta digitale è ora la tua chiave". Utilizza coerentemente l'icona ufficiale delle passkey FIDO per creare riconoscimento.
Strategia di rilascio graduale:
Inizia con l'adozione "Pull": Inizialmente, offri la creazione della passkey come opzione all'interno della pagina Impostazioni dell'account dell'utente. Ciò consente ai pionieri (early adopter) e agli utenti esperti di tecnologia di aderire senza interrompere il flusso per tutti gli altri.
Passa all'adozione "Push": Una volta che il sistema è stabile, inizia a invitare proattivamente gli utenti a creare una passkey immediatamente dopo che hanno effettuato con successo l'accesso con la loro vecchia password. Ciò cattura gli utenti quando sono già in una "mentalità di autenticazione".
Integra nell'onboarding: Infine, rendi la creazione della passkey un'opzione principale e consigliata per tutte le iscrizioni di nuovi utenti.
Un approccio basato sui dati è essenziale per convalidare l'investimento nelle passkey e per ottimizzare continuamente l'esperienza. Tutti i team dovrebbero monitorare le metriche rilevanti per i loro ruoli.
Metriche di adozione e coinvolgimento:
Tasso di creazione passkey: La percentuale di utenti idonei che creano una passkey.
Tasso di utilizzo passkey: La percentuale di accessi totali che vengono eseguiti con una passkey.
Tempo per la prima azione chiave: Quanto rapidamente i nuovi utenti eseguono un'azione critica dopo aver adottato le passkey.
Metriche aziendali e operative:
Riduzione dei ticket di reimpostazione della password: Una misura diretta della riduzione dei costi dell'helpdesk.
Riduzione dei costi delle OTP via SMS: Risparmi concreti derivanti dall'eliminazione di un fattore legacy.
Tasso di successo degli accessi: Confronto del tasso di successo degli accessi con passkey con gli accessi con password/MFA.
Diminuzione degli incidenti di account takeover (furto di account): La misura definitiva dell'efficacia della sicurezza.
Le tabelle seguenti forniscono un riepilogo conciso, confrontando i metodi di autenticazione e mappando le soluzioni basate su passkey direttamente ai comuni punti deboli (pain point) delle aziende.
| Metodo | Resistenza al phishing | Attrito per l'utente (accesso) | Complessità del recupero | Portabilità del dispositivo | Costo operativo (Helpdesk/SMS) |
|---|---|---|---|---|---|
| Solo password (SFA) | Molto bassa: altamente vulnerabile al phishing e al credential stuffing. | Medio: soggetto a password dimenticate, richiede reimpostazioni. | Media: si affida al recupero insicuro via email. | Alta: portatile, ma lo sono anche i rischi. | Alto: principale motore delle chiamate all'helpdesk. |
| OTP via SMS obbligatoria | Bassa: vulnerabile a phishing, ingegneria sociale e attacchi di SIM-swapping. | Alto: richiede l'attesa e la digitazione di un codice. | Media: si basa sull'accesso al numero di telefono. | Alta: il numero è portatile, ma lo è anche il rischio di SIM-swap. | Molto alto: tariffe degli SMS più ticket di supporto per blocchi. |
| App TOTP obbligatoria | Media: protegge dagli attacchi alle password in remoto ma non dal phishing in tempo reale. | Alto: richiede l'apertura di un'app separata e la digitazione di un codice. | Molto alta: il dispositivo perso significa spesso blocco e recupero complesso. | Bassa: le chiavi sono vincolate al dispositivo a meno che non siano salvate manualmente. | Alto: spinto da ticket di perdita e recupero del dispositivo. |
| Notifiche push obbligatorie | Bassa: altamente vulnerabile ad attacchi di stanchezza da MFA e push bombing. | Basso: un semplice tocco per approvare, ma può essere fastidioso. | Molto alta: legata a un dispositivo specifico; la perdita del dispositivo richiede un processo di recupero completo e complesso. | Bassa: le chiavi sono legate all'installazione dell'app e non si trasferiscono automaticamente su un nuovo dispositivo. | Alto: genera ticket di supporto a causa della perdita del dispositivo e attacchi per stanchezza da MFA. |
| Passkey obbligatorie | Molto alta: resistenti al phishing per progettazione a causa dell'origin-binding (vincolo all'origine). | Molto basso: singolo e rapido gesto biometrico o PIN. | Bassa: sincronizzate sui dispositivi dell'utente tramite il provider della piattaforma. | Molto alta: perfettamente disponibili su nuovi dispositivi tramite sincronizzazione cloud. | Molto basso: riduce drasticamente i blocchi ed elimina i costi degli SMS. |
Come le passkey forniscono soluzioni ai problemi dell'MFA obbligatoria
| Ruolo (Persona) | Principale punto debole (pain point) dell'MFA obbligatoria | Come le passkey forniscono la soluzione |
|---|---|---|
| Product Manager | L'elevato attrito nei processi di accesso e recupero danneggia l'esperienza utente, riduce il coinvolgimento e abbassa i tassi di conversione. | Le passkey offrono un accesso biometrico a singolo tocco significativamente più veloce rispetto alle password. Eliminando virtualmente i blocchi dell'account, rimuovono un'importante fonte di frustrazione e abbandono degli utenti. |
| CTO / Responsabile Engineering | L'elevato costo operativo dei ticket all'helpdesk per la reimpostazione di password e MFA, unitamente ai costi ricorrenti per le OTP via SMS, mette a dura prova budget e risorse IT. | La sincronizzazione delle passkey tra i dispositivi riduce drasticamente gli scenari di blocco che generano ticket di supporto. L'eliminazione delle OTP via SMS offre risparmi diretti e misurabili. |
| CISO / Professionista Sicurezza | Gli utenti, quando sono costretti a iscriversi, scelgono spesso il metodo MFA più debole e soggetto a phishing disponibile (come gli SMS), il che vanifica l'incremento di sicurezza previsto dal mandato. | Le passkey sono resistenti al phishing per progettazione. Innalzano il livello base di sicurezza per tutti gli utenti rendendo l'opzione più sicura anche la più conveniente, rimuovendo l'utente dalla decisione sulla sicurezza. |
| Project Manager | L'imprevedibilità di un rilascio in stile "big bang", unitamente alla resistenza degli utenti al cambiamento, rende difficile gestire le tempistiche del progetto e l'allocazione delle risorse. | Un rilascio graduale delle passkey (iniziando dalle impostazioni per poi richiederle post-login) combinato con una comunicazione chiara agli utenti incentrata sui vantaggi rende l'adozione più fluida e prevedibile, riducendo i rischi del progetto. |
L'era dell'autenticazione a più fattori obbligatoria è qui per restare. Sebbene nati dalla necessità critica di difendersi da attacchi basati sulle credenziali, questi obblighi hanno inavvertitamente creato un nuovo panorama di sfide.
Abbiamo visto che l'applicazione dell'MFA introduce notevoli oneri operativi, dai costi diretti delle tariffe degli SMS all'impennata di ticket all'helpdesk da parte di utenti in difficoltà con l'iscrizione e i cambi di dispositivo. Abbiamo imparato che quando viene data loro una scelta, gli utenti gravitano verso metodi familiari ma vulnerabili al phishing come gli SMS, raggiungendo la conformità sulla carta ma lasciando l'organizzazione esposta ad attacchi nel mondo reale. E cosa ancora più critica, abbiamo stabilito che in un mondo con obblighi, il recupero dell'account diventa il singolo punto di errore più grande, una fonte di immensa frustrazione per l'utente e un'enorme falla nella sicurezza se gestito in modo improprio.
I metodi MFA legacy non possono risolvere questi problemi. Ma le passkey possono. Abbiamo dimostrato che le passkey sono la risposta definitiva, risolvendo direttamente i problemi interconnessi del recupero, dell'attrito dell'utente e della sicurezza. La loro natura sincronizzata elimina la maggior parte degli scenari di blocco, la loro facilità d'uso biometrica rimuove l'incentivo a scegliere opzioni più deboli e la loro progettazione crittografica le rende immuni al phishing. Infine, abbiamo delineato un piano d'azione chiaro in quattro fasi, dalla verifica della preparazione alla misurazione del successo, che fornisce un percorso pratico per qualsiasi organizzazione per compiere questa transizione strategica.
Vedere questo cambiamento esclusivamente come un mal di testa per la conformità significa perdere l'opportunità strategica che presenta. I pionieri della Strong Customer Authentication nel settore bancario europeo, nonostante le difficoltà iniziali, hanno infine plasmato le aspettative degli utenti per un intero settore. Oggi, i pionieri delle passkey hanno la stessa opportunità. Abbracciando questa transizione, le organizzazioni possono trasformare un obbligo di sicurezza da un onere gravoso in un vantaggio competitivo potente e duraturo. Il momento per pianificare il passaggio dall'obbligo al successo è adesso.
Corbado è la Authentication Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →
L'MFA obbligatoria rende il recupero dell'account la principale sfida operativa con quattro opzioni principali: verifica guidata dall'helpdesk (sicura ma costosa), recupero via email o SMS (economico ma sfruttabile se l'email è compromessa), codici di backup preregistrati (spesso persi dagli utenti) e verifica con selfie e documento (che richiede un documento d'identità rilasciato dal governo). Ogni opzione comporta un compromesso tra sicurezza, costi e scalabilità.
Le OTP via SMS sono vulnerabili al phishing in tempo reale, al SIM-swapping e all'elusione del recupero tramite un account email compromesso. Anche con il 100% di iscrizione all'MFA, affidarsi agli SMS significa che un'organizzazione soddisfa la lettera di un obbligo ma non il suo spirito. L'introduzione da parte di Microsoft della 'MFA preferita dal sistema' riconosce questo problema spingendo attivamente gli utenti verso le app di autenticazione invece degli SMS.
A marzo 2025, gli aggressori hanno utilizzato credenziali rubate per accedere a fino a 600 account AustralianSuper e prosciugare 500.000 AUD dai saldi di quattro membri. HostPlus, che aveva già implementato l'MFA, ha segnalato zero perdite finanziarie dalla stessa campagna. L'APRA ha successivamente scritto a tutti i presidenti dei consigli di amministrazione delle superannuation, rendendo l'implementazione dell'MFA un obbligo normativo urgente anziché una considerazione futura.
Le passkey si sincronizzano attraverso gli ecosistemi delle piattaforme come il Portachiavi iCloud di Apple e il Gestore delle password di Google, ripristinandosi automaticamente su un nuovo dispositivo senza necessità di ripetere l'iscrizione per ogni servizio. Le app di autenticazione TOTP perdono tutte le chiavi segrete quando un dispositivo viene sostituito, a meno che non sia stato abilitato manualmente in precedenza il backup cloud, rendendo la sostituzione del dispositivo uno dei principali motivi di ticket all'helpdesk e blocchi degli account con l'MFA obbligatoria.
Un approccio di adozione in tre fasi riduce i rischi di implementazione. In primo luogo, offri la creazione di passkey come opzione nelle Impostazioni dell'account per catturare i primi adottanti senza interrompere i flussi esistenti. In secondo luogo, invita gli utenti a creare una passkey immediatamente dopo un accesso con password riuscito, quando sono già in una mentalità di autenticazione. In terzo luogo, rendi la creazione di passkey la raccomandazione principale durante l'inserimento di nuovi utenti.
Articoli correlati
Indice