--- url: 'https://www.corbado.com/it/faq/possono-passkey-essere-hackerate' title: 'Le passkey possono essere hackerate?' description: 'Scopri se le passkey possono essere hackerate, quanto sono sicure e cosa le rende un''alternativa più sicura per l''autenticazione degli utenti. Comprendi i rischi potenziali e le protezioni.' lang: 'it' keywords: 'hacking passkey, passkey hackerata' --- # Le passkey possono essere hackerate? ## Le passkey possono essere hackerate? Le passkey, per loro natura, sono significativamente più sicure delle password tradizionali e molto più difficili da hackerare grazie alla loro natura crittografica. Tuttavia, come ogni tecnologia, non sono completamente immuni a determinate vulnerabilità. > - **Le passkey sono più sicure delle password** grazie alla loro base crittografica. > - Le passkey **eliminano** i rischi associati agli attacchi di **phishing**, > **man-in-the-middle**, **brute-force**, **replay** e **credential stuffing**. --- ### Comprendere la sicurezza delle passkey Le passkey si basano sullo standard WebAuthn e utilizzano la crittografia a chiave pubblica per autenticare gli utenti senza fare affidamento sulle password tradizionali. Questo le rende intrinsecamente più sicure contro minacce comuni come [phishing](https://www.corbado.com/glossary/phishing), [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) e attacchi brute force. Ecco perché le passkey sono considerate sicure: - **Infrastruttura a chiave pubblica:** Le passkey utilizzano una coppia di chiavi pubblica-privata, dove la chiave privata non lascia mai il dispositivo dell'utente, rendendo quasi impossibile per gli aggressori intercettarla. - **Eliminazione delle password:** Poiché le passkey non si basano su segreti condivisi (come le password), eliminano il rischio del riutilizzo delle credenziali, una vulnerabilità comune nei sistemi basati su password. - **Protezione contro il phishing:** Gli attacchi di [phishing](https://www.corbado.com/glossary/phishing) sono inefficaci contro le passkey perché una passkey è sempre legata all'origine (ID della [relying party](https://www.corbado.com/glossary/relying-party)) per cui è stata creata. - **Nessun credential stuffing:** Le passkey sono uniche per ogni servizio e solo la chiave pubblica viene memorizzata lato server. Ciò significa che, nel caso in cui una [relying party](https://www.corbado.com/glossary/relying-party) venga violata, non ci sono ripercussioni su altre [relying party](https://www.corbado.com/glossary/relying-party). - **Nessun attacco brute-force:** Le passkey si basano sulla [crittografia asimmetrica](https://www.corbado.com/it/blog/webauthn-pubkeycredparams-credentialpublickey) e non possono essere indovinate, rendendole immuni agli attacchi brute-force. - **Nessun attacco man-in-the-middle:** Gli attacchi man-in-the-middle non sono fattibili con le passkey perché la chiave privata utilizzata per l'[autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless) non lascia mai il dispositivo dell'utente, garantendo che nessuna informazione sensibile venga trasmessa che possa essere intercettata o alterata. - **Nessun attacco di tipo replay:** Gli attacchi di tipo replay non sono possibili con le passkey perché ogni sessione di [autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless) genera una sfida crittografica unica e monouso che non può essere riutilizzata o replicata da un aggressore. Tuttavia, sebbene le passkey offrano una [sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android) superiore, non sono completamente immuni all'hacking: - **Attacchi alla supply chain:** Un dispositivo compromesso a livello di produttore potrebbe potenzialmente essere manomesso per far trapelare le chiavi crittografiche. - **Ingegneria sociale:** Sebbene il [phishing](https://www.corbado.com/glossary/phishing) sia meno efficace, gli aggressori potrebbero comunque utilizzare tecniche di ingegneria sociale per indurre gli utenti a creare passkey per siti web malevoli. - **Furto di sessione:** Le passkey rendono la parte di [autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless) sicura e semplice per gli utenti. Tuttavia, a seconda dell'implementazione della relying party, la sessione potrebbe comunque essere rubata e utilizzata per scopi malevoli. ---