Le passkey possono essere hackerate?

Le passkey possono essere hackerate?#

Le passkey, per loro natura, sono significativamente più sicure delle password tradizionali e molto più difficili da hackerare grazie alla loro natura crittografica. Tuttavia, come ogni tecnologia, non sono completamente immuni a determinate vulnerabilità.

---

Comprendere la sicurezza delle passkey#

Le passkey si basano sullo standard WebAuthn e utilizzano la crittografia a chiave pubblica per autenticare gli utenti senza fare affidamento sulle password tradizionali. Questo le rende intrinsecamente più sicure contro minacce comuni come phishing, credential stuffing e attacchi brute force. Ecco perché le passkey sono considerate sicure:

• Infrastruttura a chiave pubblica: Le passkey utilizzano una coppia di chiavi pubblica-privata, dove la chiave privata non lascia mai il dispositivo dell'utente, rendendo quasi impossibile per gli aggressori intercettarla.

• Eliminazione delle password: Poiché le passkey non si basano su segreti condivisi (come le password), eliminano il rischio del riutilizzo delle credenziali, una vulnerabilità comune nei sistemi basati su password.

• Protezione contro il phishing: Gli attacchi di phishing sono inefficaci contro le passkey perché una passkey è sempre legata all'origine (ID della relying party) per cui è stata creata.

• Nessun credential stuffing: Le passkey sono uniche per ogni servizio e solo la chiave pubblica viene memorizzata lato server. Ciò significa che, nel caso in cui una relying party venga violata, non ci sono ripercussioni su altre relying party.

• Nessun attacco brute-force: Le passkey si basano sulla crittografia asimmetrica e non possono essere indovinate, rendendole immuni agli attacchi brute-force.

• Nessun attacco man-in-the-middle: Gli attacchi man-in-the-middle non sono fattibili con le passkey perché la chiave privata utilizzata per l'autenticazione non lascia mai il dispositivo dell'utente, garantendo che nessuna informazione sensibile venga trasmessa che possa essere intercettata o alterata.

• Nessun attacco di tipo replay: Gli attacchi di tipo replay non sono possibili con le passkey perché ogni sessione di autenticazione genera una sfida crittografica unica e monouso che non può essere riutilizzata o replicata da un aggressore.

Tuttavia, sebbene le passkey offrano una sicurezza superiore, non sono completamente immuni all'hacking:

• Attacchi alla supply chain: Un dispositivo compromesso a livello di produttore potrebbe potenzialmente essere manomesso per far trapelare le chiavi crittografiche.

• Ingegneria sociale: Sebbene il phishing sia meno efficace, gli aggressori potrebbero comunque utilizzare tecniche di ingegneria sociale per indurre gli utenti a creare passkey per siti web malevoli.

• Furto di sessione: Le passkey rendono la parte di autenticazione sicura e semplice per gli utenti. Tuttavia, a seconda dell'implementazione della relying party, la sessione potrebbe comunque essere rubata e utilizzata per scopi malevoli.

---

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →