Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • AI Data Pipelines
      Pipeline di dati di sicurezza per AI SIEM e ottimizzazione dei dati
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Che cos'è una passkey? Fondamenti dell'autenticazione moderna
Cybersecurity 101/Sicurezza dell'identità/Passkey

Che cos'è una passkey? Fondamenti dell'autenticazione moderna

Le passkey utilizzano coppie di chiavi crittografiche per sostituire le password, eliminando il phishing e il furto di credenziali. Scopri come funzionano e le migliori pratiche di implementazione.

CS-101_Identity.svg
Indice dei contenuti
Che cos'è una Passkey?
Relazione tra Passkey e Cybersecurity
Passkey vs. Password
Componenti principali delle Passkey
Come funzionano le Passkey
Vantaggi principali delle Passkey
Supporto delle piattaforme Passkey e adozione nel settore
Sfide e limitazioni delle Passkey
Errori comuni nell'implementazione delle Passkey
Best Practice per le Passkey
Key Takeaways

Articoli correlati

  • Che cos'è l'LDAP Injection? Come funziona e come fermarla
  • Che cos'è la Broken Authentication? Cause, impatto e prevenzione
  • Che cos'è l'Authentication Bypass? Tecniche ed esempi
  • Passkey vs. Security Key: differenze e come scegliere
Autore: SentinelOne | Recensore: Jeremy Goldstein
Aggiornato: April 9, 2026

Che cos'è una Passkey?

Un attaccante effettua un attacco di phishing sulla password di un dipendente, aggira l'autenticazione a due fattori tramite SMS e si muove lateralmente nella rete. Secondo il Verizon DBIR, l'88% delle violazioni nei modelli di attacco basati su credenziali ha coinvolto credenziali rubate, mentre il phishing è stato utilizzato nel 57% degli incidenti di ingegneria sociale.

Le passkey eliminano completamente questo percorso di attacco. Utilizzano un'autenticazione crittografica senza password in cui le chiavi private non lasciano mai i dispositivi degli utenti, rendendo il furto di credenziali praticamente impossibile.

Una passkey si basa sulla crittografia a chiave pubblica. Il dispositivo genera una coppia di chiavi univoca: la chiave privata rimane sul dispositivo in uno storage protetto da hardware come un Trusted Platform Module o Secure Enclave, mentre la chiave pubblica viene inviata al fornitore del servizio. Durante l'autenticazione, il servizio invia una challenge che il dispositivo firma con la chiave privata. Nessuna password attraversa la rete. Questo elimina il phishing, il credential stuffing e gli attacchi di riutilizzo delle password perché le chiavi private non lasciano mai i dispositivi e nessun segreto riutilizzabile viene trasmesso.

Le passkey implementano lo standard FIDO2 (WebAuthn + CTAP), garantendo sicurezza coerente su piattaforme, browser e servizi. Le passkey vincolate al dispositivo memorizzano le chiavi private in moduli di sicurezza hardware per la massima garanzia. Le passkey sincronizzate cifrano e sincronizzano le chiavi tra ecosistemi di piattaforme per una maggiore accessibilità.

Comprendere come le passkey differiscono dalle password che sostituiscono rende evidente il miglioramento della sicurezza.

What is a Passkey - Featured Image | SentinelOne

Relazione tra Passkey e Cybersecurity

Le passkey bloccano il phishing a livello crittografico. Quando gli attaccanti lanciano campagne di phishing contro i tuoi utenti, il binding dell'origine tramite il protocollo WebAuthn impedisce l'autenticazione su domini contraffatti. Anche se un utente clicca su un link di phishing e tenta di accedere, la credenziale non può completare il flusso di autenticazione perché il binding crittografico al dominio legittimo lo blocca.

Le chiavi private memorizzate nei moduli di sicurezza hardware non possono essere estratte tramite attacchi software. Le violazioni dei database non possono esporre credenziali riutilizzabili e il credential stuffing fallisce perché le passkey sono uniche per ogni servizio.

Incidenti reali mostrano perché questo è importante. Nel settembre 2023, MGM Resorts ha subito un attacco di ingegneria sociale in cui gli attaccanti si sono spacciati per un dipendente presso l'help desk IT, ottenendo credenziali che hanno portato al  rilascio di ransomware con un costo stimato di  100 milioni di dollari di perdite. Nel 2022, un importante provider di identità ha subito un furto di credenziali tramite un contractor terzo compromesso, con impatto su centinaia di clienti.

Gli account protetti da passkey eliminano il furto di credenziali come metodo di accesso iniziale, rimuovendo il vettore di attacco alla base della maggior parte di queste violazioni. La forza di questa protezione deriva da un insieme specifico di componenti tecnici che lavorano insieme.

Passkey vs. Password

Le password sono segreti condivisi. Vengono create, trasmesse a un server e il server ne memorizza una copia hashata. Ogni passaggio di questa catena è attaccabile: gli utenti scelgono password deboli, le riutilizzano su più servizi e cadono su pagine di phishing che le raccolgono in tempo reale. Anche i database di password hashate possono essere violati e decifrati offline.

Le passkey funzionano in modo diverso a ogni livello. Il dispositivo genera una coppia di chiavi crittografiche e la chiave privata non lascia mai il dispositivo. Il server memorizza solo la chiave pubblica, inutile per un attaccante senza la metà privata corrispondente. L'autenticazione avviene tramite una challenge firmata, quindi nulla di riutilizzabile attraversa la rete.

Le differenze pratiche sono significative. Le password richiedono agli utenti di ricordare stringhe complesse e cambiarle periodicamente, creando attrito che porta a riutilizzo e scelte deboli. Le passkey richiedono solo una scansione biometrica o un PIN del dispositivo per essere sbloccate, senza necessità di memorizzazione. I reset delle password rappresentano  dal 20% al 50% delle chiamate all'helpdesk IT nelle aziende; le passkey eliminano completamente questa categoria.

Dal punto di vista della sicurezza, le password restano vulnerabili a phishing, attacchi brute-force, credential stuffing e violazioni di database. Le passkey sono resistenti a tutti e quattro:

  • Phishing — Il binding del dominio impedisce l'uso delle credenziali su siti contraffatti
  • Brute-force e credential stuffing — Non esistono password da indovinare o riprodurre
  • Violazioni di database — I server memorizzano solo chiavi pubbliche, inutili senza la metà privata
  • Riutilizzo delle credenziali — L'unicità per servizio significa che compromettere un account non consente di accedere ad altri

Dove le password forniscono un singolo fattore di autenticazione (qualcosa che conosci), le passkey ne combinano due: qualcosa che possiedi (il dispositivo che memorizza la chiave privata) e qualcosa che sei (verifica biometrica), offrendo autenticazione multi-fattore integrata in un solo passaggio.

Queste differenze si traducono direttamente in risultati di sicurezza misurabili quando le passkey affrontano scenari di attacco reali.

Componenti principali delle Passkey

L'autenticazione tramite passkey si basa su cinque componenti tecnici che creano un'autenticazione resistente al phishing:

  • Coppie di chiavi crittografiche costituiscono la base. Ogni passkey è composta da una chiave pubblica e una privata matematicamente correlate. La chiave pubblica risiede sul server del fornitore di servizi; la chiave privata rimane sul dispositivo dell'utente in uno storage protetto da hardware.
  • Autenticatori generano e memorizzano le passkey. Gli autenticatori di piattaforma sono integrati nei dispositivi tramite TPM, Secure Enclave o Trusted Execution Environment (TEE), mantenendo le chiavi private vincolate a uno specifico hardware. Gli autenticatori roaming includono chiavi di sicurezza USB e token Bluetooth. Entrambi implementano le specifiche CTAP e WebAuthn per il binding del dominio, la resistenza al phishing e la prova crittografica di possesso.
  • WebAuthn API consente alle applicazioni web e ai browser di interagire con gli autenticatori. Questo standard W3C definisce come avvengono registrazione e autenticazione, garantendo implementazione coerente su tutte le piattaforme.
  • Relying party si riferisce al servizio che implementa l'autenticazione tramite passkey, genera le challenge, valida le risposte e mantiene il registro delle chiavi pubbliche.
  • Verifica dell'utente conferma che l'utente legittimo controlla l'autenticatore tramite autenticazione biometrica, PIN del dispositivo o pattern. La verifica avviene localmente; i dati biometrici non lasciano mai il dispositivo.

Questi componenti lavorano insieme attraverso due processi fondamentali: registrazione e autenticazione.

Come funzionano le Passkey

Entrambi i processi si basano su una challenge-response crittografica che elimina completamente la trasmissione delle credenziali.

Processo di registrazione

Durante la registrazione, il relying party invia i requisiti al browser dell'utente, che invoca WebAuthn. L'autenticatore genera una coppia di chiavi univoca vincolata a quel dominio. Questo binding dell'origine impedisce il riutilizzo delle credenziali e il phishing.

La chiave privata viene memorizzata in memoria protetta da hardware. Nelle implementazioni vincolate al dispositivo, ciò significa moduli di sicurezza hardware, TPM, Secure Enclave o chip di sicurezza. Nelle implementazioni sincronizzate, significa storage cloud cifrato senza possibilità di esportazione. L'autenticatore restituisce la chiave pubblica e i metadati della credenziale al relying party. La registrazione si completa in pochi secondi, offrendo un'esperienza di accesso senza password senza dover creare una password.

Processo di autenticazione

Quando l'utente si autentica, il relying party genera una challenge casuale e la invia insieme all'ID della credenziale. Dopo la verifica dell'utente tramite scansione biometrica, inserimento del PIN o sblocco del dispositivo, l'autenticatore firma la challenge con la chiave privata.

La challenge firmata viene restituita al relying party per la validazione. Se la firma corrisponde, l'autenticazione si completa. Le challenge scadono entro pochi minuti e non possono essere riutilizzate.

Scenari di autenticazione cross-device

Le passkey sincronizzate cifrano le chiavi private in keychain cloud (iCloud Keychain o Google Password Manager) per l'accesso multi-dispositivo all'interno dello stesso ecosistema. Offrono accesso conveniente ma supporto di attestazione limitato, il che significa che le organizzazioni non possono sempre verificare crittograficamente l'esatto hardware di sicurezza utilizzato. Le passkey vincolate al dispositivo richiedono l'autenticatore fisico per ogni accesso, fornendo maggiore garanzia tramite capacità di attestazione completa che consente alle organizzazioni di verificare il modello esatto della chiave di sicurezza o del modulo di sicurezza hardware coinvolto.

Per le aziende, la scelta tra credenziali sincronizzate e vincolate al dispositivo dipende dalla tolleranza al rischio. Gli ambienti ad alta sicurezza come gli account amministrativi privilegiati beneficiano delle implementazioni vincolate al dispositivo, mentre le opzioni sincronizzate sono adatte per l'autenticazione della forza lavoro generale dove la convenienza favorisce l'adozione.

Chiariti i meccanismi, la domanda successiva è cosa offrono le passkey per la tua organizzazione.

Vantaggi principali delle Passkey

Le passkey offrono quattro categorie di miglioramento misurabile rispetto all'autenticazione basata su password, coprendo sicurezza, operatività e conformità.

  1. Resistenza al phishing tramite crittografia: L'autenticazione basata su password con codici SMS resta vulnerabile al phishing in tempo reale, dove gli attaccanti fanno da proxy alle richieste tramite siti contraffatti. Le passkey eliminano questo rischio tramite il binding del dominio. L'API WebAuthn verifica il dominio di destinazione prima dell'autenticazione, facendo fallire il processo quando i domini non corrispondono. I codici SMS, le notifiche push e i TOTP restano vulnerabili a attacchi man-in-the-middle, SIM swapping e affaticamento da notifiche push. Le credenziali crittografiche no.
  2. Prevenzione del furto di credenziali: Le chiavi private non lasciano mai i dispositivi degli utenti. Le violazioni dei server non possono esporre credenziali riutilizzabili perché i server memorizzano solo chiavi pubbliche. I malware infostealer non possono estrarre chiavi dai moduli di sicurezza hardware, anche con accesso a livello kernel. Le passkey affrontano le  tecniche di harvesting delle credenziali su cui gli attaccanti fanno più affidamento.
  3. Efficienza operativa: L'implementazione delle passkey riduce le richieste di reset password perché gli utenti non possono dimenticare le credenziali crittografiche. L'implementazione FIDO del USDA, ad esempio, ha permesso a circa 40.000 utenti di adottare l'autenticazione senza password, eliminando un'intera categoria di ticket all'helpdesk. Le piattaforme di sicurezza delle identità come Singularity Identity di SentinelOne completano la prevenzione delle passkey con una risposta autonoma alle minacce basate su credenziali che prendono di mira l'infrastruttura di autenticazione.
  4. Allineamento a conformità e livelli di garanzia: Le passkey sono allineate ai requisiti NIST SP 800-63 AAL3 per l'autenticazione multi-fattore resistente al phishing. CISA designa le passkey FIDO/WebAuthn come  gold standard per MFA perché forniscono credenziali vincolate al dominio che non possono essere utilizzate su siti contraffatti. Come già detto, la stragrande maggioranza delle violazioni basate su credenziali coinvolge credenziali rubate, una categoria che le passkey eliminano completamente.

La crittografia a chiave pubblica offre anche proprietà di sicurezza verificabili che le policy sulle password non possono eguagliare: prova crittografica di autenticazione specifica per dominio, zero segreti condivisi sulla rete e generazione di chiavi radicata nell'hardware. Queste proprietà forniscono prove verificabili durante gli audit e semplificano la documentazione di conformità per framework come SOC 2, HIPAA e PCI DSS.

Questi vantaggi di sicurezza e operativi hanno guidato una rapida adozione su piattaforme e settori.

Supporto delle piattaforme Passkey e adozione nel settore

Apple, Google e  Microsoft supportano nativamente le passkey nei loro sistemi operativi e browser, offrendo alle organizzazioni copertura cross-platform per la maggior parte degli ambienti dispositivi aziendali:

  • Apple integra le passkey tramite iCloud Keychain su iOS, iPadOS e macOS
  • Google le supporta tramite Google Password Manager su Android e Chrome
  • Microsoft abilita l'autenticazione tramite passkey con Windows Hello ed Entra ID

Oltre ai vendor di piattaforma, anche importanti servizi consumer e enterprise hanno adottato l'accesso tramite passkey. Amazon, PayPal, GitHub, Shopify ed eBay supportano le passkey per l'autenticazione dei clienti. La FIDO Alliance Passkey Directory monitora la crescente adozione nei settori bancario, sanitario e governativo. Secondo la FIDO Alliance, il 53% delle persone ha abilitato le passkey su almeno un account.

Per i team di sicurezza aziendale, questa tendenza significa che l'autenticazione senza password non è più una considerazione futura. I provider di identità come Microsoft Entra ID, Okta e Ping Identity offrono integrazione nativa FIDO2/WebAuthn, rendendo l'implementazione organizzativa possibile già oggi.

Il crescente supporto delle piattaforme non elimina però la complessità di implementazione.

Sfide e limitazioni delle Passkey

L'implementazione aziendale delle passkey affronta quattro ostacoli principali che richiedono pianificazione e investimenti per essere superati.

  1. Vincoli di integrazione con sistemi legacy: Le applicazioni legacy che non possono integrarsi con servizi di autenticazione moderni rappresentano la principale barriera all'implementazione. Molte organizzazioni si affidano a sistemi ibridi che combinano password e credenziali crittografiche a causa di vincoli legacy, creando complessità operativa dovendo mantenere più componenti di infrastruttura di autenticazione contemporaneamente. Applicazioni mainframe, sistemi di controllo industriale e dispositivi embedded spesso non dispongono delle risorse per implementare i protocolli WebAuthn. Occorre decidere se mantenere isole di autenticazione tramite password, investire in gateway di autenticazione o accettare che alcuni sistemi resteranno fuori dalla copertura delle passkey. Pianificare questi gap in anticipo previene punti ciechi di sicurezza durante il rollout.
  2. Incoerenze di implementazione cross-platform: Le implementazioni variano tra piattaforme e browser nonostante la standardizzazione WebAuthn. Le passkey sincronizzate funzionano solo all'interno di un singolo ecosistema: le chiavi private sincronizzate tramite iCloud Keychain non sono accessibili da dispositivi Android che usano Google Password Manager, e viceversa. Queste incoerenze creano flussi di autenticazione imprevedibili che complicano il rollout aziendale.
  3. Complessità nel recupero degli account: La perdita del dispositivo o il guasto hardware creano scenari di blocco dell'account che richiedono meccanismi di recupero robusti. Gli utenti spesso temono di perdere l'accesso, e questa paura diventa una barriera psicologica all'adozione. Le organizzazioni che trascurano il recupero vedono un volume maggiore di ticket di supporto e tassi di adozione più bassi, quindi la progettazione dei meccanismi di recupero deve essere una priorità nella pianificazione.
  4. Gestione del cambiamento organizzativo: Gli utenti possono opporsi a flussi di autenticazione non familiari, soprattutto se non comprendono i benefici di sicurezza. Il personale di supporto necessita di formazione su troubleshooting, procedure di recupero e comportamenti specifici delle piattaforme prima del deployment. La collaborazione cross-funzionale tra UX, sviluppo e team di prodotto affronta le barriere all'adozione in modo più efficace rispetto a trattare le passkey come iniziative puramente tecniche.

Conoscere queste sfide aiuta a evitare gli errori di implementazione più comuni.

Errori comuni nell'implementazione delle Passkey

Anche rollout di passkey ben pianificati possono fallire se i team trascurano l'esperienza utente, la gestione degli errori e la sicurezza dei fallback. Questi quattro errori sono i più frequenti.

  • Saltare la formazione degli utenti prima del rollout: Annunciare l'implementazione senza affrontare le preoccupazioni degli utenti porta a confusione e resistenza. Gli utenti si trovano di fronte a prompt di autenticazione non familiari senza contesto e molti richiedono reset password o contattano il supporto. La formazione dovrebbe spiegare in anticipo gli scenari di perdita del dispositivo e le procedure di recupero, con workflow specifici per iOS, Android e Windows.
  • Utilizzare messaggi di errore generici: I flussi di autenticazione che mostrano "Si è verificato un errore" invece di indicazioni utili minano la fiducia degli utenti. Messaggi specifici come "Questa credenziale appartiene a un altro account" o "La policy del dispositivo richiede un aggiornamento" guidano l'utente verso la risoluzione e mantengono la fiducia anche in caso di errore.
  • Test di recupero insufficienti: Implementare le passkey senza test approfonditi dei processi di recupero espone gli utenti al rischio di blocco. Gli utenti possono perdere dispositivi senza preavviso, gli autenticatori di backup possono non funzionare e la sincronizzazione cloud può subire interruzioni. Testare le procedure di recupero su scenari reali di fallimento con istruzioni passo-passo e guide visive.
  • Mantenere fallback di autenticazione insicuri: Implementazioni che ricorrono a metodi deboli a singolo fattore (solo email o SMS OTP) mantengono la vulnerabilità agli stessi attacchi che le passkey sono progettate per fermare. Progettare i fallback con requisiti multi-fattore e rendere i workflow di recupero deliberatamente meno convenienti rispetto all'autenticazione primaria, per scoraggiare l'uso routinario dei fallback pur preservando l'accesso di emergenza.

Seguire le best practice collaudate aiuta a evitare questi errori e costruire un'implementazione resiliente.

Best Practice per le Passkey

Le implementazioni aziendali di successo condividono schemi comuni su sequenza di rollout, targeting degli utenti, progettazione del recupero e integrazione con le piattaforme.

Implementare una strategia di rollout graduale

Distribuire in fasi progressive. Iniziare stabilendo una baseline di autenticazione multi-fattore con autenticatori basati su app, costruendo la capacità organizzativa prima di introdurre le passkey. Successivamente, introdurre le passkey con MFA resistente al phishing per le applicazioni sensibili, mantenendo il fallback tramite password durante la transizione.

Man mano che l'adozione matura, formalizzare i processi di ciclo di vita e recupero:

  • Sblocco remoto del dispositivo e rilascio delle credenziali
  • Procedure di revoca con audit trail completo per la conformità
  • Gestione centralizzata delle credenziali in tutta l'organizzazione
  • Autenticazione basata su password relegata solo al fallback di emergenza

Ogni fase dovrebbe includere criteri di successo chiari prima di passare alla successiva.

Targetizzare prima i gruppi di utenti ad alto rischio

Distribuire prima agli utenti privilegiati, agli amministratori IT e ai dirigenti. Questi target di alto valore affrontano i maggiori rischi di furto di credenziali, con il  Verizon DBIR che mostra il 57% degli incidenti di ingegneria sociale coinvolgere il phishing e il phishing utilizzato come metodo di accesso iniziale nel 16% di tutte le violazioni. Proteggere prima le applicazioni business-critical, tra cui email, VPN, sistemi HR e strumenti finanziari, rispetto ai servizi meno sensibili.

Costruire un'infrastruttura di recupero robusta

Implementare più meccanismi di recupero senza creare backdoor tramite password. Richiedere agli utenti di registrare chiavi di sicurezza hardware di backup insieme agli autenticatori di piattaforma primari, così che la perdita di un dispositivo non causi il blocco totale.

Il recupero amministrativo dovrebbe verificare l'identità tramite più canali: revisione di un documento d'identità con foto, conferma del manager e validazione tramite domande di sicurezza. Le passkey sincronizzate tramite cloud forniscono recupero automatico quando gli utenti accedono a dispositivi sostitutivi con lo stesso account di piattaforma. Riservare le passkey vincolate al dispositivo per accessi privilegiati che richiedono autenticazione attestata da hardware.

Integrare con le piattaforme di identità

Collegarsi alle piattaforme di identità aziendali come Microsoft Entra ID utilizzando policy di accesso condizionale. L'autenticazione basata sul rischio può imporre la verifica tramite passkey resistente al phishing per condizioni di rischio elevato, consentendo autenticazione semplificata in scenari a basso rischio. L'integrazione con la piattaforma di identità fornisce anche audit trail centralizzati che correlano l'autenticazione tramite passkey con l'accesso alle applicazioni e il comportamento degli utenti.

Stabilire processi di miglioramento continuo

Monitorare i metriche di adozione: tassi di registrazione, tassi di successo dell'autenticazione, frequenza di recupero e escalation all'helpdesk. Iterare i flussi di autenticazione in base ai dati operativi e al feedback degli utenti man mano che il supporto della piattaforma e la maturità organizzativa evolvono.

Le passkey rafforzano il perimetro di autenticazione, ma gli attaccanti non si fermano al furto di credenziali.

Ridurre il rischio di identità in tutta l'organizzazione

Rilevate e rispondete agli attacchi in tempo reale con soluzioni olistiche per Active Directory ed Entra ID.

Richiedi una demo

Key Takeaways

Le passkey eliminano il furto di credenziali e il phishing tramite autenticazione crittografica in cui le chiavi private non lasciano mai i dispositivi degli utenti. Nessuna password attraversa la rete, rimuovendo il metodo di accesso iniziale più comune che gli attaccanti sfruttano. L'implementazione aziendale richiede un rollout graduale a partire dagli utenti ad alto rischio e dalle applicazioni business-critical, con pianificazione attenta su vincoli dei sistemi legacy, incoerenze cross-platform e barriere di adozione degli utenti.

Saltare la formazione degli utenti, utilizzare messaggi di errore generici e mantenere fallback di autenticazione deboli può compromettere i vantaggi di sicurezza delle passkey se non affrontati. Le piattaforme di sicurezza delle identità completano la prevenzione tramite passkey rilevando attacchi che prendono di mira l'infrastruttura di autenticazione oltre il livello delle credenziali, inclusi compromissione di Active Directory, escalation dei privilegi e movimento laterale.

Domande frequenti

Una passkey è una credenziale crittografica senza password che sostituisce le password utilizzando la crittografia a chiave pubblica. Il tuo dispositivo genera una coppia di chiavi univoca: la chiave privata rimane nell’archiviazione protetta da hardware sul tuo dispositivo, mentre la chiave pubblica viene inviata al fornitore di servizi. 

L’autenticazione avviene tramite una sfida crittografica challenge-response, quindi nessuna password o segreto riutilizzabile attraversa mai la rete.

No. Le passkey utilizzano la crittografia asimmetrica in cui le chiavi private rimangono nei moduli di sicurezza hardware sul tuo dispositivo e non vengono mai trasmesse attraverso le reti. 

I tentativi di phishing falliscono perché le passkey verificano crittograficamente il dominio di destinazione prima dell'autenticazione, impedendo l'uso su siti contraffatti.

Il recupero dipende dalla tua architettura. Le passkey sincronizzate e crittografate in keychain cloud rimangono accessibili da qualsiasi dispositivo connesso al tuo account della piattaforma. 

Le passkey vincolate al dispositivo richiedono autenticatori di backup registrati durante la registrazione. Le organizzazioni dovrebbero implementare più meccanismi di recupero per prevenire il blocco completo dell'account.

Le passkey sincronizzate funzionano su dispositivi all'interno dello stesso ecosistema di piattaforma (Apple, Google, Microsoft). L'autenticazione cross-platform richiede la registrazione separata della passkey per ogni ecosistema o chiavi di sicurezza hardware che implementano gli standard FIDO2.

Sì. Le passkey sono allineate ai requisiti NIST SP 800-63B AAL3 per l'autenticazione multi-fattore resistente al phishing. Le passkey vincolate al dispositivo con attestazione hardware soddisfano i requisiti di massima garanzia di autenticazione per i sistemi federali. CISA designa le passkey FIDO/WebAuthn come il gold standard per MFA.

Le passkey implementano gli standard FIDO2/WebAuthn supportati dalle piattaforme di identità aziendali, inclusa Microsoft Entra ID. Le policy di accesso condizionale applicano l'autenticazione basata su passkey in base ai segnali di rischio. 

L'implementazione richiede strategie graduali che affrontino la compatibilità con i sistemi legacy, i meccanismi di recupero e la gestione del cambiamento.

Scopri di più su Sicurezza dell'identità

Autenticazione adattiva a più fattori: guida completaSicurezza dell'identità

Autenticazione adattiva a più fattori: guida completa

L'MFA adattivo regola la robustezza dell'autenticazione in base alla valutazione del rischio in tempo reale, monitorando continuamente le sessioni per bloccare attacchi di furto di token che aggirano l'MFA tradizionale.

Per saperne di più
Che cos'è l'MFA resistente al phishing? Sicurezza modernaSicurezza dell'identità

Che cos'è l'MFA resistente al phishing? Sicurezza moderna

L'MFA resistente al phishing utilizza l'associazione crittografica al dominio per impedire il furto di credenziali. Scopri come funzionano i metodi basati su FIDO2 e PKI e perché CISA li definisce il gold standard.

Per saperne di più
Sicurezza Identity Provider (IDP): Cos'è e perché è importanteSicurezza dell'identità

Sicurezza Identity Provider (IDP): Cos'è e perché è importante

Scopri come i sistemi di rilevamento delle intrusioni e l'autenticazione FIDO2 bloccano gli attacchi IdP rivolti alla tua infrastruttura.

Per saperne di più
Che cos'è NTLM? Rischi di sicurezza di Windows NTLM e guida alla migrazioneSicurezza dell'identità

Che cos'è NTLM? Rischi di sicurezza di Windows NTLM e guida alla migrazione

NTLM è un protocollo di autenticazione Windows con vulnerabilità critiche. Scopri gli attacchi Pass-the-Hash, i rischi di relay e la migrazione prima di ottobre 2026.

Per saperne di più
Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Scoprite come SentinelOne AI SIEM può trasformare il vostro SOC in una centrale elettrica autonoma. Contattateci oggi stesso per una demo personalizzata e per vedere il futuro della sicurezza in azione.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano