Le passkey sono un metodo di autenticazione multifattore (MFA) resistente al phishing che può essere usato come fattore di autenticazione autonomo o insieme alle password in distribuzioni ibride. Quando si usa una passkey, l'autenticazione è associata al sito web legittimo e si basa su una prova crittografica, anziché su codici di verifica monouso da inserire o approvare manualmente. Questa FAQ spiega perché e in che modo le passkey sono più sicure dei codici SMS, delle app di autenticazione e delle notifiche push.
Le passkey possono funzionare senza password?
Sì. Le passkey possono funzionare come soluzione di autenticazione completa nelle distribuzioni senza password perché sono intrinsecamente multifattore. Richiedono il possesso del dispositivo più la verifica biometrica o tramite PIN. Le organizzazioni possono anche usare le passkey come fattore di autenticazione aggiuntivo insieme alle password, offrendo ai team la flessibilità di scegliere l'approccio più adatto alle proprie policy di sicurezza e ai flussi di lavoro degli utenti.
Che cosa rende le passkey un'autenticazione multifattore “resistente al phishing”?
Le passkey sono crittograficamente sicure e usano crittografia avanzata e funzioni matematiche per essere impossibili da indovinare e quasi impossibili da sottrarre tramite phishing, rendendole una forma di autenticazione multifattore resistente al phishing. Tre proprietà definiscono questa classe di MFA.
Vincolo all'origine L'autenticatore verifica il sito web o l'app che richiede l'accesso e risponde solo quando il dominio è legittimo (vedi Come funzionano le passkey). Questo impedisce ai siti simili all'originale di attivare un accesso valido.
Challenge-response Ogni accesso usa una challenge unica e di breve durata generata dal servizio. L'autenticatore firma questa challenge con una chiave privata. Non ci sono informazioni riutilizzabili che un aggressore possa intercettare e inoltrare al sito reale (attacco relay) o salvare per tentare in seguito (attacco di replay).
Nessun segreto condiviso La chiave privata rimane sul dispositivo dell'utente e non viene mai trasmessa durante l'autenticazione. Il servizio/sito web memorizza solo una chiave pubblica, che non può essere usata per generare un accesso valido o impersonare l'utente.
Per maggiori informazioni su come sta cambiando l'autenticazione in ambito aziendale, consulta l'adozione dell'autenticazione senza password.
Perché gli altri metodi sono meno sicuri
Le passkey soddisfano tutti e tre i requisiti dell'MFA resistente al phishing. Vincolano l'autenticazione al dominio reale, rispondono solo a challenge generate dal server e non espongono mai un segreto condiviso.
In confronto, i metodi comuni di autenticazione multifattore possono essere intercettati o inoltrati:
Codici SMS possono essere rubati tramite malware, SIM swap o kit di relay in tempo reale.
TOTP delle app di autenticazione sono temporanei, ma restano riutilizzabili per un breve periodo e possono essere raccolti tramite siti web falsificati.
Approvazioni push sono vulnerabili agli attacchi con richieste ripetute (noti anche come 2FA bombing), in cui gli utenti approvano una richiesta per confusione o stanchezza.
Le passkey soddisfano i criteri di MFA resistente al phishing di NIST, Microsoft e altri importanti provider.
Esempi di MFA resistente al phishing
Kit di relay per l'autenticazione multifattore in tempo reale I kit di relay creano un proxy tra gli utenti e pagine di accesso false, acquisendo password e codici monouso e inoltrandoli al sito reale. Le passkey impediscono questo attacco perché non esiste alcun codice riutilizzabile e la challenge firmata non può essere riutilizzata.
Trappole con domini simili all'originale Gli aggressori registrano domini che assomigliano molto a siti web legittimi e indirizzano le vittime a inserire le credenziali. Un esempio recente è stato “rnicrosoft.com vs. microsoft.com”: nota che la r e la n assomigliano a una m. Le passkey non rispondono a origini non corrispondenti, quindi il dominio fraudolento non può produrre una richiesta di autenticazione valida.
Affaticamento da autenticazione multifattore e push bombing L'MFA basata su push dipende dall'approvazione umana. Gli aggressori sommergono gli utenti con richieste ripetute finché non ne accettano una per errore. Le passkey eliminano completamente questo vettore perché il flusso di autenticazione non include azioni di “approvazione” o “rifiuto”.
Per approfondire come rafforzare la visibilità dell'autenticazione in tutta l'organizzazione, consulta la panoramica di Bitwarden Access Intelligence.
Se stai valutando opzioni di accesso tra dispositivi, consulta Come accedere con un altro dispositivo.
Se stai valutando opzioni di accesso tra dispositivi, consulta Come accedere con un altro dispositivo.