Un post sul blog aziendale di Cisco incita ad abbandonare le password tradizionali per abbracciare le soluzioni passwordless, sfatando alcuni falsi miti che aleggiano attorno a queste ultime.
Il tema del progressivo abbandono delle password è attuale e ancora un po’ confuso, ci sono però dei dati incontrovertibili che, da soli, dovrebbero spingere le organizzazioni verso metodi di autenticazione più sicuri.
Tra gli elementi inconfutabili vanno citati i frequenti data leak che mettono in crisi la sicurezza delle credenziali d’accesso degli utenti e, su tutti, giova ricordare il database con 244 milioni di password messo in vendita sul dark web a febbraio del 2025.
L’idea di autenticazione così come lo conosciamo risale se non altro per convenzione al 1961, anno in cui il Massachusetts Institute of Technology (MIT) ha avuto necessità di fare in modo che singoli utenti avessero accesso esclusivo a file e dati.
Dopo sessant’anni è giunto il momento di lasciare spazio a meccanismi capaci di rendere molto più complesso il furto di credenziali. Tuttavia, assumere in modo acritico che l’autenticazione passwordless sia una panacea è quanto di più sbagliato si possa credere, come dimostrano diversi studi che prendono in esame FIDO2/WebAuthn. Tra questi figura una ricerca di cui parleremo sotto.
Indice degli argomenti
Un mondo passwordless
Per le organizzazioni la cyber security deve essere solida e amministrabile. Pilastri inalienabili che approfondiamo con il supporto di Salvatore Lombardo, esperto ICT e membro Clusit.
Quando si parla di autenticazione senza password vengono chiamati in causa FIDO2 e WebAuthn, due componenti di uno standard aperto che basa l’autenticazione su chiavi crittografiche.
FIDO2, acronimo di Fast Identity Online 2, è uno standard sviluppato dal consorzio FIDO Alliance (di cui fanno parte grandi player di diversi settori quali, per esempio, Microsoft e Mastercard) insieme al W3C, l’organismo internazionale che definisce gli standard del web, che ha collaborato nel definire WebAuthn (Web Authentication API), l’API che permette ai browser di usare l’autenticazione FIDO2.
Rilasciato nel 2018, sostituisce le password con credenziali crittografiche sfruttando dispositivi di cui le persone sono normalmente in possesso (smartphone, tablet, personal computer) o appositi token hardware.
La chiave privata resta sul dispositivo dell’utente, mentre quella pubblica viene registrata sul servizio online, si parla quindi di crittografia asimmetrica.
I vantaggi dell’autenticazione passwordless
I sistemi per l’autenticazione passwordless si dimostrano più sicuri di quelli tradizionali per diversi motivi, tutti uniti dallo scarso grado di affezione alle password, che gli utenti tendono a detestare con l’aumentare della loro complessità, e dal modo perfettibile in cui le organizzazioni le gestiscono.
Tra gli atout principali vanno citati:
- Difesa contro il furto di credenziali.
- Difesa contro il riutilizzo delle credenziali.
- Difesa contro il phishing.
L’uso delle password tradizionali è una crepa per qualsiasi assetto difensivo, un punto di rottura che rischia di mettere in crisi il lavoro dei Security Operation Center (SOC).
Come funzionano i sistemi passwordless
L’autenticazione senza password utilizza metodi quali l’impronta digitale, il riconoscimento facciale o una chiave fisica e ciò, nei fatti, rappresenta una forma di autenticazione multifattoriale.
Durante l’accesso a un’infrastruttura o a una risorsa IT, il dispositivo sblocca una chiave digitale unica che non viene mai condivisa online.
In altre parole, i dati biometrici come l’impronta digitale o il volto dell’utente, così come i Pin generati da applicazioni o accessori hardware, vengono memorizzati in modo sicuro sul dispositivo e non viaggiano in rete.
Questo è un argomento che crea confusione e Salvatore Lombardo contribuisce a fare chiarezza: “Un aspetto fondamentale del modello passwordless basato su biometria è che i dati biometrici rimangono confinati sul dispositivo dell’utente, dove vengono trasformati in template crittografici non recuperabili e non vengono mai trasmessi ai servizi esterni (il dispositivo dell’utente genera una coppia di chiavi pubblica/privata. La chiave pubblica viene inviata al servizio, la privata rimane sul dispositivo). Questo elimina alla radice il rischio che impronte, volto o altri dati sensibili vengano intercettati o esfiltrati durante l’autenticazione”.
Inoltre, i sistemi che usano la biometria (come, per esempio, Face ID di Apple o Windows Hello di Microsoft) fanno ricorso a tecnologie quali la mappatura 3D, il rilevamento della vivacità e la luce a infrarossi, per ridurre al minimo la possibilità di ingannare il processo di autenticazione usando fotografie dell’utente abilitato.
Un metodo che non contempla la debolezza di cui possono soffrire le password canoniche.
Autenticazioni passwordless, i miti da sfatare
Come scritto sopra, un Pin usato per sbloccare un dispositivo è più sicuro di una password perché, anche se intercettato da terzi, non può essere usato da remoto. Va quindi rigettata la tesi diffusa secondo la quale, in fin dei conti, un Pin è solo una password più semplice da ricordare.
In aggiunta, tornando all’argomento dei dati biometrici, si tende a fare confusione con il riconoscimento facciale propriamente detto che insinua negli utenti il timore che i propri dati personali possano essere esposti a rischi di furto, con conseguenze tanto per la privacy quanto per la sicurezza.
In realtà, come anticipato, i dati biometrici – siano questi impronte o volti – non vengono archiviati in database esterni e quindi non possono essere alla mercè di chicchessia e non possono essere usati per attività di sorveglianza.
L’implementazione del modello passwordless
Sulla necessità di disporre un audit dell’infrastruttura e una mappatura delle applicazioni ci siamo già soffermati. È necessario verificare quali servizi e quali applicazioni supportano FIDO2/WebAuthn e quali invece richiedono aggiornamenti o interventi.
Inoltre, come spiega Salvatore Lombardo: “Per quanto riguarda l’adozione organizzativa, un passaggio graduale al passwordless è in genere la strategia più efficace in quanto permette di controllare meglio ogni fase della transizione. Le infrastrutture aziendali presentano quasi sempre applicazioni legacy o sistemi non ancora compatibili con le moderne credenziali FIDO e con l’autenticazione senza password.
Un percorso progressivo potrebbe permettere di gestire meglio la coesistenza tra vecchi e nuovi meccanismi, ridurre i rischi operativi e valutare l’impatto sul flusso di lavoro degli utenti, garantendo un’integrazione più fluida e sostenibile nel tempo. In sintesi, la gradualità renderebbe la migrazione più sicura, più gestibile e meno traumatica per infrastrutture e persone”.
Non sono tutte rose e fiori: cosa dovrebbero valutare le organizzazioni
Le politiche passwordless riducono le superfici d’attacco ma non sono fortini inespugnabili e, parallelamente, possono porre dei problemi operativi.
In primo luogo, dipendono dai dispositivi sui quali risiede la chiave privata e ciò vuole dire che la perdita, il furto, i danni e i ripristini del sistema operativo comportano politiche di gestione del ciclo di vita che includano backup e revoca.
Non meno importante, restano i rischi legati agli attacchi locali (malware o compromissioni di altro genere del dispositivo). Uno studio condotto da due ricercatori della Brigham Young University (Utah) mette in evidenza le vulnerabilità nelle implementazioni FIDO2 soprattutto in rapporto con le estensioni browser malevole o con sistemi già compromessi.
Parallelamente, un ricerca recente ha dimostrato che è possibile cancellare le credenziali FIDO e compromettere i flussi di autenticazione. Un’eventualità remota che richiede condizioni e tecnologie particolari ma tanto deve bastare per non cedere all’idea che il mondo passwordless sia esente da criticità.
Inoltre, è opinione comune che l’implementazione di politiche passwordless sgravino i servizi help desk aziendali. Visione incompleta e comunque opinabile: occorre un’organizzazione che contempli una procedura ferrea di recovery perché l’uso della password tradizionale come opzione secondaria supportata dall’invio di link per il ripristino via email o sms sono l’antitesi di una postura ottimale, tant’è che alcune minacce si insinuano tra queste modalità per ottenere in modo fraudolento accessi alle infrastrutture IT.
Dal punto di vista della compatibilità, FIDO2/WebAuthn possono non essere supportati in ambienti complessi o da sistemi proprietari o datati.
Per esempio, WebAuthn è supportato solo da Windows 10 in poi e in alcuni ambienti virtuali non sono supportati accessi diretti tramite FIDO2/WebAuthn (Citrix documenta questo tipo di problemi).
