Passkey: il vero obiettivo degli attaccanti ora è il tuo smartphone

Le passkey sono spesso presentate come la soluzione definitiva al problema delle password: niente più credenziali da ricordare, niente più phishing tradizionale, niente più OTP (codici di conferma validi “una tantum”) da copiare. Ed è vero che dal punto di vista tecnico rappresentano uno dei più grandi cambiamenti degli ultimi anni nell’autenticazione online. Ma c’è un dettaglio molto meno discusso: con le passkey il vero obiettivo degli attaccanti non è più la password. È il dispositivo dell’utente.

Perché le passkey non sono “password migliori”

Molti utenti immaginano le passkey come una semplice evoluzione delle password tradizionali. In realtà il modello tecnico è completamente diverso in quanto le passkey si basano sugli standard FIDO2 e WebAuthn, utilizzando uno schema di crittografia asimmetrica: una chiave pubblica registrata sul server del fornitore del servizio; una chiave privata custodita sul dispositivo dell’utente.

Come abbiamo spiegato nell’articolo dedicato ai punti chiave delle passkey, quando si effettua il login il server invia una challenge (“sfida”) crittografica; il dispositivo la firma usando la chiave privata; il server verifica la risposta usando la chiave pubblica associata all’account. Il dettaglio fondamentale è che la chiave privata non lascia mai il dispositivo. È proprio questo che rende le passkey molto più resistenti rispetto alle password tradizionali perché, di fatto, non c’è una password da rubare e ciascuna coppia chiave pubblica-privata vale per l’accesso allo specifico sito Web (non funziona su siti clone creati nell’ambito di campagne phishing).

Perché le passkey resistono agli attacchi phishing

Con una password tradizionale, l’utente può essere convinto a inserire le credenziali su un sito clone praticamente identico all’originale. E questo anche se utilizzasse l’autenticazione a due fattori (2FA).

Nel caso delle passkey, come spiegato nell’articolo citato in precedenza, il browser verifica il dominio reale del sito e associa l’autenticazione all’origine Web corretta. La passkey non autentica soltanto l’utente: autentica anche il sito.

Se un aggressore crea una copia falsa di un sito Web legittimo, la challenge crittografica non corrisponde e il browser non rilascia la credenziale. La stessa passkey non può insomma essere riutilizzata su domini differenti.

Le passkey non eliminano tutti gli attacchi

La narrazione “comune”, tuttavia, tende spesso a un’eccessiva semplificazione: le passkey non possono rappresentare una soluzione definitiva a ogni problema legato alla sicurezza degli account.

Le passkey eliminano una delle superfici di attacco più sfruttate degli ultimi vent’anni: il riutilizzo delle password per le credenziali di accesso: non esiste più una password da ricordare, digitare o inserire su un sito falso. Come spiegato in precedenza, l’autenticazione con le passkey avviene tramite una chiave crittografica conservata sul dispositivo dell’utente e associata in modo specifico al servizio utilizzato.

Gli aggressori non possono quindi più contare sul fatto che il 94% delle password sono riutilizzate dagli utenti su più piattaforme diverse e quindi non possono usare la tecnica del credential stuffing che consiste nel provare ad accedere usando insiemi di password già note (ad esempio frutto di precedenti attacchi informatici; vedete quali e quanti sono ad esempio documenti su Have I been pwned). Non ci sono inoltre password da violare con attacchi basati sul dizionario o brute force.

Gli attacchi di tipo session hijacking, malware e infostealer funzionano ancora

Oggi molti gruppi criminali evitano completamente l’attacco nella fase del login. È molto più efficace colpire il dispositivo già autenticato oppure impossessarsi della sessione attiva dell’utente. Per questo motivo le passkey non eliminano diverse categorie di attacchi molto in voga.

Malware e infostealer sono software malevoli che possono compromettere il sistema, leggere i dati memorizzati nel browser, intercettare cookie, token di sessione e informazioni di autenticazione già valide. In uno scenario simile, il fatto che l’utente utilizzi password o passkey cambia relativamente poco: l’attaccante non deve autenticarsi da zero, perché sfrutta direttamente una sessione già aperta.

Lo stesso vale per la compromissione del browser: estensioni malevole, vulnerabilità del browser stesso o processi compromessi possono consentire l’accesso ai dati della sessione autenticata. Una volta ottenuti cookie e token, il criminale può impersonare l’utente senza conoscere alcuna credenziale.

Ed è qui che entra in gioco il cosiddetto session hijacking: il dirottamento della sessione: invece di rubare la chiave di accesso, si sottrae il “biglietto” che dimostra al server che l’utente è già autenticato.

Gli infostealer più diffusi oggi non cercano soltanto password salvate nei browser. Cercano soprattutto cookie di sessione, token OAuth, sessioni di servizi cloud, autenticazioni persistenti, wallet di criptovalute. In molti casi l’obiettivo è bypassare 2FA, password e passkey sfruttando il fatto che il login è già effettuato dalla vittima.

Attacchi al dispositivo: restano centrali

Ovvio che malware e infostealer devono in qualche modo arrivare sul dispositivo dell’utente: per trarlo in inganno, gli aggressori possono usare svariate tecniche di ingegneria sociale oppure vulnerabilità zero-click, che portano all’esecuzione di codice arbitrario.

Se poi uno smartphone o un PC sono compromessi a basso livello, l’attaccante potrebbe riuscire a utilizzare indirettamente le passkey tramite il sistema già sbloccato dall’utente.

Le protezioni hardware moderne riducono enormemente questo rischio, ma non possono annullarlo del tutto, soprattutto in presenza di malware avanzati o accesso fisico al dispositivo.

Le passkey, quindi, mirano a rappresentare la fine di una specifica categoria di problemi: quella delle credenziali statiche e riutilizzabili.

Il vero obiettivo degli attacchi sta diventando il dispositivo

Con le passkey il segreto è custodito dal dispositivo: smartphone, notebook e browser diventano parte integrante dell’infrastruttura di fiducia. Gli elementi sui quali poggia la sicurezza delle passkey sono i seguenti:

• Secure Enclave sugli iPhone;
• Trusted Platform Module (TPM) su Windows;
• Trusted Execution Environment (TEE) su Android;
• Android Keystore;
• iCloud Keychain;
• Google Password Manager.

Tutti questi componenti hanno un ruolo fondamentale perché custodiscono chiavi private, token crittografici, credenziali sincronizzate e dati biometrici. Il dispositivo smette di essere un semplice strumento di accesso e diventa parte dell’identità digitale stessa.

La biometria non autentica davvero l’identità

Quando si usano l’impronta digitale o il riconoscimento facciale per autorizzare una passkey, la biometria non “dimostra” direttamente chi sia l’utente dal punto di vista civile o anagrafico. È un punto spesso frainteso.

La biometria autentica semplicemente il possessore del dispositivo: così l’impronta sblocca il telefono o la specifica funzione di autenticazione, lo smartphone recupera la chiave privata per firmare la “sfida” arrivata dal server remoto e l’accesso può avere luogo.

Il livello di sicurezza dipende quindi moltissimo dalla robustezza del dispositivo, dall’integrità del sistema operativo e dalla qualità dell’implementazione hardware.

Sincronizzazione cloud: problema discusso ma cruciale

Molte passkey oggi non restano soltanto sul dispositivo locale: sono automaticamente sincronizzate tramite iCloud Keychain, attraverso il Google Password Manager oppure servendosi ci altri ecosistemi cloud. È uno schema che migliora enormemente l’usabilità delle passkey, soprattutto in caso di cambio smartphone, ripristino degli account e accesso da più dispositivi.

Pensate a cosa succederebbe se un utente usasse solo una passkey associata a un unico dispositivo mobile per l’autenticazione sui suoi account principali. In caso di smarrimento, furto o sostituzione del dispositivo, si perderebbe definitivamente l’accesso ai propri account. Lo abbiamo già spiegato nell’articolo su come evitare il blocco dell’account Google prima che sia troppo tardi.

La sincronizzazione delle passkey (o meglio, di chiave pubblica e privata corrispondente a ciascuna di esse…) introduce un nuovo elemento critico: l’account cloud centrale.

Se un aggressore compromette l’Apple ID, l’account Google, l’account Microsoft, può potenzialmente accedere anche all’ecosistema che custodisce e sincronizza le passkey dell’utente.

Nel caso delle passkey sincronizzate sul cloud, la credenziale può essere replicata tra dispositivi appartenenti allo stesso ecosistema. Se la passkey è hardware-bound, essa rimane vincolata fisicamente a un autenticatore hardware specifico: security key FIDO2, smart card, token USB/NFC come YubiKey. È uno dei motivi per cui molte aziende continuano a preferire token hardware dedicati per gli accessi più critici.

Device attestation: il prossimo passo

Per i motivi brevemente illustrati al paragrafo precedente, le piattaforme moderne stanno introducendo sistemi di device attestation ossia meccanismi progettati per verificare non soltanto l’identità dell’utente, ma anche l’affidabilità tecnica del dispositivo utilizzato.

L’obiettivo non è più limitarsi a controllare “chi sei“, ma stabilire anche l’integrità del dispositivo, l’assenza di compromissioni note, lo stato di sicurezza del sistema operativo, la presenza di hardware trusted, l’autenticità dell’ambiente software.

Su Android, ad esempio, Google utilizza sistemi come Play Integrity API; Apple implementa controlli equivalenti basati su Secure Enclave, firma hardware e verifica dell’integrità del sistema.

In pratica, il servizio online non cerca soltanto di capire se l’utente abbia effettuato correttamente il login, ma anche se il dispositivo possa essere considerato affidabile. Un telefono con bootloader sbloccato, firmware modificato, ambiente rooted oppure sistema operativo non certificato può quindi essere classificato come meno affidabile o addirittura escluso da alcune funzionalità. È una trasformazione molto importante perché sposta il modello di sicurezza dall’autenticazione dell’utente alla validazione continua dell’intero endpoint.

Quando la sicurezza rischia di trasformarsi in controllo dell’ecosistema

Proprio attorno a questi temi stanno emergendo forti discussioni sul piano della sicurezza e della privacy. Progetti come GrapheneOS sostengono infatti che questi sistemi rischino di trasformarsi in strumenti di controllo dell’ecosistema più che in semplici tecnologie antifrode.

La device attestation tende spesso a privilegiare dispositivi e sistemi operativi approvati ufficialmente dai grandi vendor. Di conseguenza, smartphone particolarmente sicuri ma non certificati – come alcune distribuzioni Android hardened come GrapheneOS – possono essere trattati come “non attendibili”, anche in assenza di reali compromissioni.

La questione è diventata ancora più evidente con l’evoluzione dei CAPTCHA e dei sistemi anti-bot di Google. Alcune nuove implementazioni iniziano infatti a valutare direttamente lo stato del dispositivo e la presenza di servizi proprietari come Google Play Services per decidere se considerare umano o affidabile un utente.

Secondo molti osservatori, il rischio è che in futuro l’accesso a servizi online, piattaforme pubbliche o sistemi di identità digitale dipenda sempre più dall’uso di hardware e software approvati da pochi grandi operatori tecnologici. Una direzione che promette maggiore sicurezza contro bot, frodi e malware, ma che apre anche interrogativi importanti su interoperabilità, libertà dell’utente e concentrazione del controllo tecnologico.

Conclusioni

Le passkey rappresentano probabilmente il più grande passo avanti nell’autenticazione web degli ultimi 20 anni. Riducendo drasticamente phishing tradizionale, credential stuffing e riutilizzo delle password, introducono un modello molto più robusto rispetto ai sistemi classici.

Tuttavia, non eliminano il problema della sicurezza delle credenziali: semplicemente lo spostano altrove.

Il centro della fiducia non è più la password digitata dall’utente, ma il dispositivo che custodisce la chiave crittografica associata all’identità digitale. Ecco perché smartphone, browser, Secure Enclave, TPM e hardware trusted stanno diventando parte integrante dell’identità stessa.