Le passkey possono essere hackerate?
Vincent
Created: June 17, 2025
Updated: July 6, 2025
Le passkey possono essere hackerate?#
Le passkey, per loro natura, sono significativamente più sicure delle password tradizionali e molto più difficili da hackerare grazie alla loro natura crittografica. Tuttavia, come ogni tecnologia, non sono del tutto immuni a determinate vulnerabilità.
- Le passkey sono più sicure delle password grazie alla loro base crittografica.
- Le passkey eliminano i rischi associati agli attacchi di phishing, man-in-the-middle, brute-force, replay e credential stuffing.
Comprendere la sicurezza delle passkey#
Le passkey si basano sullo standard WebAuthn e utilizzano la crittografia a chiave pubblica per autenticare gli utenti senza fare affidamento sulle password tradizionali. Questo le rende intrinsecamente più sicure contro minacce comuni come phishing, credential stuffing e attacchi brute force. Ecco perché le passkey sono considerate sicure:
-
Infrastruttura a chiave pubblica: Le passkey utilizzano una coppia di chiavi pubblica-privata, dove la chiave privata non lascia mai il dispositivo dell'utente, rendendo quasi impossibile per gli aggressori intercettarla.
-
Eliminazione delle password: Poiché le passkey non si basano su segreti condivisi (come le password), eliminano il rischio di riutilizzo delle credenziali, una vulnerabilità comune nei sistemi basati su password.
-
Protezione contro il phishing: Gli attacchi di phishing sono inefficaci contro le passkey perché una passkey è sempre legata all'origine (ID della relying party) per cui è stata creata.
-
Nessun credential stuffing: Le passkey sono uniche per ogni servizio e solo la chiave pubblica viene memorizzata lato server. Ciò significa che, in caso di violazione di una relying party, non ci sono ripercussioni su altre relying party.
-
Nessun attacco brute-force: Le passkey si basano sulla crittografia asimmetrica e non possono essere indovinate, rendendole immuni agli attacchi brute-force.
-
Nessun attacco man-in-the-middle: Gli attacchi man-in-the-middle non sono fattibili con le passkey perché la chiave privata utilizzata per l'autenticazione non lascia mai il dispositivo dell'utente, garantendo che nessuna informazione sensibile trasmessa possa essere intercettata o alterata.
-
Nessun attacco di tipo replay: Gli attacchi di tipo replay non sono possibili con le passkey perché ogni sessione di autenticazione genera una sfida crittografica unica e monouso che non può essere riutilizzata o replicata da un aggressore.
Tuttavia, sebbene le passkey offrano una sicurezza superiore, non sono del tutto immuni all'hacking:
-
Attacchi alla supply chain: Un dispositivo compromesso a livello di produttore potrebbe potenzialmente essere manomesso per far trapelare le chiavi crittografiche.
-
Ingegneria sociale: Sebbene il phishing sia meno efficace, gli aggressori potrebbero comunque utilizzare tecniche di ingegneria sociale per indurre gli utenti a creare passkey per siti web malevoli.
-
Furto di sessione: Le passkey rendono la parte di autenticazione sicura e semplice per gli utenti. Tuttavia, a seconda dell'implementazione della relying party, la sessione potrebbe comunque essere rubata e utilizzata per scopi malevoli.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Share this article
