Come funzionano le passkey? Guida al flusso di autenticazione

Che cos'è una passkey?

Le credenziali rubate hanno aperto la porta nel 22% delle violazioni confermate, secondo il Verizon DBIR 2024. Il furto di credenziali, in particolare tramite malware infostealer e campagne di phishing, rimane l'anello debole dell'autenticazione tradizionale basata su password. Questo schema si ripete in incidenti reali:

• MGM Resorts (2023): Gli attaccanti hanno utilizzato una chiamata di ingegneria sociale per ottenere credenziali e, infine, interrompere le operazioni di hotel e casinò; MGM ha dichiarato un impatto di 100 milioni di dollari sull'EBITDAR rettificato della proprietà nel trimestre e 10 milioni di dollari in costi una tantum (MGM Resorts 8-K filing).
• Colonial Pipeline (2021): Il DOJ ha dichiarato che l'incidente è derivato da un account compromesso utilizzato per l'accesso remoto, causando una grave interruzione della fornitura di carburante sulla costa orientale degli Stati Uniti (DOJ press release).
• Twilio (2022): Una campagna di phishing ha catturato le credenziali dei dipendenti, consentendo l'accesso ai sistemi interni e impattando i clienti a valle (Twilio incident report).

Le passkey eliminano questa modalità di fallimento tramite autenticazione crittografica vincolata a domini specifici, rendendo il furto e il riutilizzo delle credenziali architettonicamente impossibili.

Una passkey è una credenziale di autenticazione crittografica basata sul protocollo FIDO2. Invece di un segreto condiviso come una password che sia il dispositivo sia il server memorizzano, una passkey utilizza una coppia di chiavi pubblica-privata asimmetrica crittografia. Il dispositivo genera e memorizza una chiave privata all'interno di hardware sicuro, come un Trusted Platform Module (TPM) o una secure enclave. La chiave pubblica corrispondente viene inviata al server. Durante l'accesso, il server emette una sfida crittografica, il dispositivo la firma con la chiave privata e il server verifica la firma utilizzando la chiave pubblica.

La chiave privata non lascia mai il dispositivo. Il server non detiene mai un segreto riutilizzabile. Non c'è nulla da sottrarre tramite phishing, nulla da riutilizzare, nulla da rubare da un database compromesso.

Questa progettazione ha implicazioni dirette su come le organizzazioni difendono contro i vettori di attacco più comuni che prendono di mira l'infrastruttura di identità.

Come le passkey si collegano alla cybersecurity

Le passkey affrontano la principale categoria di accesso iniziale nelle violazioni aziendali: la compromissione delle credenziali. Il Verizon DBIR ha rilevato che le credenziali compromesse sono state coinvolte nel 42% delle violazioni totali (Verizon 2024 DBIR). I metodi MFA tradizionali come i codici SMS e TOTP rimangono vulnerabili al phishing in tempo reale, in cui gli attaccanti inoltrano i codici ai servizi legittimi prima che scadano. Le passkey utilizzano il vincolo crittografico di dominio, il che significa che la credenziale funziona solo sul dominio di origine legittimo. Anche se un utente interagisce con una pagina di phishing, la passkey non può autenticarsi su un dominio contraffatto. Per un ripasso su come funzionano questi attacchi, consulta la guida agli attacchi di phishing di SentinelOne.

Per i team di sicurezza che gestiscono l'infrastruttura di identità, le passkey spostano la postura difensiva dal ridurre la probabilità di furto delle credenziali al renderlo architettonicamente impossibile. La panoramica sulla sicurezza delle identità di SentinelOne può aiutarti a mappare il rafforzamento dell'autenticazione all'area di rischio identità più ampia.

Questo contesto consente un confronto diretto tra ciò che le passkey sostituiscono e ciò che offrono.

Passkey vs. Password

La tabella seguente riassume le principali differenze tra passkey e password in termini di sicurezza e operatività, aspetti fondamentali per i difensori.

Questo confronto tra passkey e password spiega perché il settore si sta muovendo rapidamente. La sezione successiva analizza i componenti fondamentali che rendono possibile l'autenticazione tramite passkey.

Componenti fondamentali dell'autenticazione con passkey

L'autenticazione con passkey utilizza uno stack stratificato di protocolli, hardware e servizi di piattaforma che protegge le credenziali in ogni fase. Ogni componente svolge un ruolo specifico nel mantenere le credenziali resistenti al phishing e vincolate crittograficamente.

1. Stack di protocolli FIDO2: FIDO2 è il framework ombrello che comprende due specifiche principali. WebAuthn, definita dalla specifica W3C Web Authentication, è l'API lato browser che le relying party utilizzano per creare e verificare credenziali a chiave pubblica tramite chiamate JavaScript. CTAP (Client to Authenticator Protocol) gestisce la comunicazione tra la piattaforma client e l'hardware autenticatore tramite USB, NFC o Bluetooth Low Energy (BLE). Insieme, WebAuthn e CTAP collegano applicazione, browser e hardware sicuro che protegge la chiave privata.
2. Tipi di autenticatore: Le  specifiche degli autenticatori FIDO Alliance definiscono due categorie. Gli autenticatori platform (integrati) sono integrati direttamente nell'hardware del dispositivo e memorizzano le chiavi private in secure enclave o TPM. Gli autenticatori roaming (cross-platform) sono dispositivi hardware esterni che operano su più sistemi tramite USB, NFC o BLE e offrono il massimo isolamento poiché le chiavi private rimangono all'interno di un elemento sicuro dedicato. La scelta dell'autenticatore determina il livello di garanzia, il piano di recupero e l'esperienza utente.
3. Livello hardware sicuro: La sicurezza di ogni passkey dipende dall'autenticatore che protegge la chiave privata. Le chiavi di sicurezza hardware offrono la protezione più forte tramite elementi sicuri dedicati progettati per resistere sia ad attacchi fisici che logici di estrazione.
4. Attestazione: Durante la registrazione della credenziale, l'attestazione consente di verificare che una passkey sia stata creata su un modello di autenticatore approvato (identificato dal suo AAGUID) che soddisfa i requisiti di sicurezza, come l'archiviazione della chiave supportata da hardware o la certificazione FIPS 140-2.

Questi quattro livelli, lo stack di protocolli FIDO2, i tipi di autenticatore, l'hardware sicuro e l'attestazione, lavorano insieme durante ogni interazione con la passkey. La sezione successiva illustra come si combinano durante la registrazione e l'accesso.

Come funziona l'autenticazione con passkey

Il ciclo di vita della passkey prevede due cerimonie: registrazione (creazione della credenziale) e autenticazione (dimostrazione del possesso). Entrambe seguono un modello challenge-response utilizzando la crittografia a chiave pubblica.

Registrazione: creazione di una passkey

1. Il server genera una challenge. Quando si avvia la configurazione della passkey, il server relying party genera una challenge crittograficamente casuale insieme ai parametri di registrazione: identificatore RP, informazioni utente, algoritmi supportati (tipicamente ES256) e requisiti dell'autenticatore.
2. Il dispositivo crea una coppia di chiavi. Il client chiama credentials.create(challenge). L'autenticatore genera una nuova coppia di chiavi pubblica-privata all'interno dell'hardware sicuro. La chiave privata non lascia mai questo perimetro protetto.
3. La risposta viene restituita firmata. Il dispositivo invia la chiave pubblica, un ID credenziale e la challenge firmata al server. La specifica W3C garantisce che l'intera origine sia firmata crittograficamente nell'oggetto di attestazione, vincolando la credenziale al dominio legittimo.
4. Il server verifica e memorizza. Il server conferma la challenge firmata, valida l'origine, controlla l'attestazione (per le implementazioni aziendali) e memorizza la chiave pubblica e l'ID credenziale associati all'account.

A questo punto, il server detiene la chiave pubblica e l'ID credenziale ma non ha mai visto la chiave privata. Questa asimmetria rende ogni accesso successivo resistente al phishing.

Autenticazione: accesso con una passkey

1. Il server emette una nuova challenge. Ogni tentativo di accesso produce una nuova challenge crittograficamente casuale, prevenendo attacchi di replay.
2. Il dispositivo firma la challenge. Il client chiama credentials.get(challenge). L'autenticatore richiede la verifica dell'utente (scansione biometrica o PIN del dispositivo), recupera la chiave privata, incrementa il contatore delle firme e firma i dati dell'autenticatore e l'hash dei dati del client.
3. Il server verifica la firma. Utilizzando la chiave pubblica memorizzata, il server verifica la firma, dimostrando crittograficamente che si possiede la chiave privata senza che questa lasci mai il dispositivo.

Il traffico intercettato non contiene nulla di riutilizzabile perché ogni sessione utilizza una challenge unica. La chiave privata rimane bloccata nell'hardware. I dati biometrici non raggiungono mai il server; la verifica avviene interamente sul dispositivo.

Entrambe le cerimonie presuppongono che la passkey risieda sul dispositivo utilizzato in quel momento. In pratica, gli utenti lavorano su più dispositivi, il che solleva la questione di come le passkey si spostino tra di essi.

Sincronizzazione cross-platform

Le passkey possono essere vincolate al dispositivo o sincronizzate tra l'ecosistema di dispositivi.

• Passkey sincronizzate vengono replicate tramite gestori di credenziali della piattaforma utilizzando la crittografia end-to-end. Secondo la  documentazione di Apple iCloud Keychain, Apple non può leggere il contenuto del portachiavi nemmeno se l'account cloud è compromesso. Tuttavia,  NIST SP 800-63B richiede chiavi private non esportabili per la conformità AAL3, un requisito che le passkey sincronizzate violano poiché le chiavi private devono lasciare il dispositivo originale per la sincronizzazione.
• Passkey vincolate al dispositivo non lasciano mai l'hardware dell'autenticatore e soddisfano i requisiti più rigorosi, inclusa la conformità NIST SP 800-63B AAL3. Le passkey sincronizzate sono comunque considerate autenticatrici AAL2 per autenticazione resistente al phishing secondo le linee guida federali.

Una volta compresa la differenza tra passkey vincolate al dispositivo e sincronizzate, puoi valutare dove le passkey sono già supportate e dove si sta dirigendo l'adozione.

Quali servizi e piattaforme supportano le passkey

Oltre 15 miliardi di account online supportano ora l'autenticazione tramite passkey e il 48% dei primi 100 siti web offre le passkey come opzione di accesso (FIDO Alliance). L'adozione si estende a piattaforme consumer, strumenti aziendali e servizi finanziari.

• Sistemi operativi e browser: Apple (iOS, macOS, Safari), Google (Android, Chrome) e Microsoft (Windows, Edge) hanno integrato pienamente il supporto alle passkey. Oltre il 95% dei dispositivi iOS e Android è pronto per le passkey e Windows sta espandendo il supporto alle passkey sincronizzate tramite Windows Hello (Biometric Update). L'autenticazione cross-device funziona tramite CTAP su Bluetooth Low Energy (BLE), consentendo l'autenticazione su un laptop utilizzando una passkey memorizzata su uno smartphone vicino.
• Piattaforme consumer: Google ha abilitato le passkey per oltre 800 milioni di account e riporta accessi quattro volte più riusciti rispetto alle password. Amazon ha superato i 175 milioni di clienti con passkey abilitate. TikTok ha raggiunto un tasso di successo del 97% nell'autenticazione con passkey. Altri importanti servizi consumer che supportano le passkey includono PayPal, eBay, GitHub e Target (FIDO Alliance Passkey Index).
• Strumenti aziendali e per la forza lavoro: L'adozione aziendale sta accelerando. I dati di HID e FIDO Alliance indicano che circa l'87% delle aziende ha implementato o sta implementando le passkey. Piattaforme come Okta, HubSpot e Cisco Duo hanno lanciato il supporto alle passkey, con HubSpot che riporta un miglioramento del 25% nei tassi di successo del login e accessi quattro volte più rapidi rispetto a password e autenticazione a due fattori (Dashlane Passkey Report).
• Servizi finanziari e pubblica amministrazione: Banche come American Express, Bank of America e Wells Fargo hanno iniziato a implementare il supporto alle passkey. L'exchange di criptovalute Gemini è diventato una delle prime grandi piattaforme a rendere obbligatorie le passkey per tutti gli utenti. Nel settore pubblico, il servizio MyGov australiano ha reso disponibili le passkey a quasi 30 milioni di persone e l'Unione Europea ha lanciato il framework Digital Identity Wallet con le passkey come componente centrale.

L'ampio supporto delle piattaforme significa che la maggior parte delle organizzazioni può iniziare a testare le passkey già oggi. Questo non significa che la distribuzione sia priva di attriti; la sezione successiva tratta le sfide operative da pianificare.

Sfide nell'implementazione delle passkey

Le passkey risolvono il problema del furto di credenziali, ma introducono sfide operative che devono essere pianificate prima della distribuzione.

• Il dilemma della sicurezza nel recupero: Se un utente perde l'unico dispositivo con una passkey vincolata al dispositivo e non ha un backup registrato, l'account diventa effettivamente irrecuperabile senza meccanismi di fallback. I flussi di recupero tradizionali tramite email o SMS reintroducono le stesse vulnerabilità che le passkey sono progettate per eliminare.
• Compatibilità con sistemi legacy: Le applicazioni più datate spesso non supportano FIDO2/WebAuthn. Secondo il  white paper enterprise passkeys di FIDO Alliance, gli ambienti federati possono implementare le passkey a livello di IdP, abilitando il supporto downstream senza modifiche individuali. Gli ambienti non federati devono implementare FIDO su ogni applicazione singolarmente o migrare prima a un modello federato.
• Barriere organizzative e cross-platform: Anche con forti benefici di sicurezza, la distribuzione delle passkey può bloccarsi per risorse, responsabilità e cambiamenti di processo. Il comportamento delle passkey varia anche tra piattaforme e browser, con diversi flussi di registrazione e sincronizzazione che complicano la formazione e aumentano il carico di supporto durante il rollout.

Nessuna di queste sfide è un ostacolo insormontabile, ma ognuna richiede una decisione consapevole in fase di pianificazione piuttosto che una correzione post-lancio. Le seguenti best practice affrontano direttamente recupero, compatibilità e attriti nel rollout.

Best practice per la distribuzione aziendale delle passkey

Un rollout di successo delle passkey richiede pianificazione architetturale, policy a livelli e un'esecuzione graduale.

• Stabilisci una strategia di credenziali a due livelli: Separa la base utenti in base al profilo di rischio e ai requisiti di livello di garanzia. Gli account privilegiati (amministratori, finanza, accessi regolamentati) che richiedono conformità AAL3 dovrebbero utilizzare passkey vincolate al dispositivo o chiavi di sicurezza hardware con chiavi private non esportabili. Gli utenti della forza lavoro generale possono utilizzare passkey sincronizzate (conformi ai requisiti AAL2 resistenti al phishing) per una maggiore usabilità e recupero supportato dalla piattaforma tramite i gestori di credenziali del dispositivo.
• Distribuisci in tre fasi: Implementa un rollout strutturato: inizia con un pilota di 50-100 utenti su applicazioni di alto valore (email, VPN, sistemi HR) per stabilire processi di ciclo di vita e recupero. Scala su altre applicazioni e segmenti utente formalizzando provisioning, revoca e workflow di audit. Infine, rendi le passkey il metodo di autenticazione predefinito e sposta il fallback basato su password a stato di emergenza.
• Federare prima di distribuire: Se l'architettura di autenticazione non è centralizzata tramite un Identity Provider, affronta prima questo aspetto. Gli ambienti federati che implementano le passkey a livello di IdP possono supportare le applicazioni downstream senza modifiche individuali. Gli ambienti non federati affrontano un percorso più oneroso, richiedendo il supporto alle passkey su ogni applicazione singolarmente.
• Progetta un recupero resistente al phishing: Elimina gradualmente il recupero tramite SMS ed email a favore di meccanismi di recupero a tempo e passkey di backup. I token di recupero dovrebbero avere una finestra di scadenza di 5-15 minuti, essere vincolati alle sessioni di origine e consentire un solo utilizzo. Le passkey di backup registrate su dispositivi secondari offrono il fallback più sicuro poiché mantengono le proprietà di sicurezza crittografica dell'autenticazione primaria.
• Richiedi attestazione per le registrazioni aziendali: Implementa il filtraggio dell'attestazione basato su AAGUID per garantire che solo modelli di autenticatore approvati possano registrare credenziali. Questo impedisce agli utenti di registrare passkey su autenticatori che non soddisfano i requisiti di sicurezza hardware.
• Investi in formazione mirata: I programmi di formazione dovrebbero coprire la registrazione delle passkey su diversi tipi di dispositivi, le procedure di recupero per dispositivi persi, l'uso dell'autenticazione di fallback e la motivazione di sicurezza dietro i cambiamenti di policy. Le incoerenze cross-platform rendono la formazione pratica più efficace della sola documentazione.
• Implementa audit logging fin dal primo giorno: Traccia ogni evento di registrazione, tentativo di autenticazione, azione di recupero e revoca delle credenziali nel tuo SIEM. Integra gli eventi del ciclo di vita delle passkey per mantenere tracce di audit a supporto degli obiettivi di controllo ISO 27001 e dei requisiti di sicurezza dell'accesso logico SOC 2 CC6. La guida SIEM e la  panoramica XDR di SentinelOne possono aiutarti ad allineare la telemetria delle identità con i segnali di endpoint e cloud.

Queste basi operative ti preparano a tradurre le passkey in controlli pronti per l'audit, dove entrano in gioco le aspettative di conformità e dei regolatori.

Driver normativi e di conformità per l'autenticazione con passkey

La pressione normativa sta accelerando l'adozione delle passkey. CISA esorta ogni azienda a implementare MFA resistente al phishing per email, VPN e sistemi che toccano infrastrutture critiche. CISA e NIST hanno anche pubblicato una  bozza di rapporto interagenzia sulla protezione dei token di autenticazione da manomissioni, furto e attacchi di replay. NIST SP 800-63B stabilisce che AAL2 richiede un'opzione resistente al phishing, mentre AAL3 richiede un autenticatore resistente al phishing con chiave privata non esportabile.

Per allineare le passkey agli audit, in genere è necessario dimostrare tre aspetti:

• Mappatura dei controlli: Documenta come le passkey soddisfano o superano gli obiettivi di controllo degli accessi esistenti (ad esempio, requisiti di controllo accessi dell'Annex A ISO 27001).
• Valutazione del rischio: Rileva i rischi introdotti (perdita del dispositivo, vendor lock-in, complessità del recupero, attacchi di downgrade) e i controlli compensativi.
• Prove ed enforcement: Mantieni la documentazione di implementazione, dimostra l'applicazione delle policy e conserva le tracce di audit per eventi di autenticazione e recupero.

Riunire questi elementi ti consente di presentare le passkey sia come upgrade di sicurezza sia come set di controlli adatti all'audit. Tuttavia, l'autenticazione è solo uno strato della superficie di attacco dell'identità e gli strumenti che affianchi alle passkey determinano la rapidità con cui rilevi e rispondi quando le minacce si spostano oltre il prompt di login.

Rafforza l'autenticazione con passkey con SentinelOne

Le passkey eliminano gli attacchi basati su credenziali a livello di autenticazione, ma la sicurezza delle identità va oltre il prompt di login. Il furto di token di sessione, il movimento laterale e la persistenza basata sull'identità operano tutti a valle dell'autenticazione.  Singularity Identity correla l'attività di endpoint e identità per rilevamento contestuale e triage più rapido quando le passkey sono solo una parte della storia. Rafforza Active Directory e i provider di identità cloud inclusi SecureAuth, Ping, Duo, Entra ID e Okta, implementa tecniche di deception per intrappolare gli intrusi precocemente e rileva in tempo reale furto di credenziali ed escalation dei privilegi.

Purple AI accelera l'investigazione degli alert relativi alle identità traducendo query in linguaggio naturale in ricerche cross-domain. Le organizzazioni che utilizzano Purple AI riportano fino al 55% di remediation delle minacce più rapida e una riduzione del 40-50% dei tempi di investigazione (ricerca IDC).

SentinelOne ha prodotto l'88% di alert in meno rispetto alla mediana di tutti i vendor nelle valutazioni indipendenti MITRE ATT&CK 2024 (MITRE ATT&CK Evaluations results), aiutando il tuo team a concentrarsi su incidenti reali invece che sul volume di alert.

Quando centralizzi telemetria di passkey, endpoint e identità,  Singularity AI SIEM ti offre un unico luogo per archiviare eventi di sicurezza normalizzati per hunting e forensics più rapidi. L' hub cybersecurity 101 di SentinelOne fornisce concetti di supporto per runbook interni.  Richiedi una demo di SentinelOne per vedere come identità, endpoint e telemetria cloud si integrano in un'unica piattaforma.

Punti chiave

In sostanza, cos'è una passkey? È una credenziale crittografica che sostituisce i segreti condivisi con la crittografia asimmetrica, eliminando il rischio di furto delle credenziali che sta dietro al 22% delle violazioni (Verizon 2024 DBIR). La distribuzione aziendale richiede una strategia di credenziali a due livelli: passkey vincolate al dispositivo per account privilegiati conformi AAL3 e passkey sincronizzate per la forza lavoro generale. 

Costruisci workflow di recupero resistenti al phishing, federando l'architettura di autenticazione e distribuendo in fasi. I mandati normativi di CISA e NIST stanno accelerando l'adozione.