Forse le passkey non sono così sicure come sembrano

Negli ultimi anni, il tema dell’autenticazione ha assunto un ruolo centrale nella strategia di protezione dei dati digitali, con soluzioni innovative come le passkey considerate il nuovo standard per la sicurezza degli accessi online. Tuttavia, una recente ricerca ha sollevato dubbi sulla reale affidabilità di questo sistema, portando alla luce una vulnerabilità che potrebbe minare la fiducia di aziende e utenti.

Passkey: l’anello debole è il browser

Shourya Pratap Singh, ricercatore di SquareX, ha dichiarato: “Le passkey rappresentavano il futuro dell’autenticazione, ma abbiamo scoperto che i browser costituiscono un pericoloso anello debole che può vanificare tutti i vantaggi di sicurezza promessi”. Queste parole, pronunciate in occasione dell recente conferenza DEF CON 33, hanno fatto rapidamente il giro della comunità informatica, generando un acceso dibattito sulla sicurezza dei browser e sulla loro capacità di sostenere l’evoluzione delle tecnologie di autenticazione.

Il sistema delle passkey si basa su una sofisticata infrastruttura a doppia chiave crittografica: la chiave privata resta protetta sul dispositivo dell’utente, mentre quella pubblica viene memorizzata dal servizio online. Questo approccio dovrebbe, almeno in teoria, eliminare i rischi tipici degli attacchi informatici come phishing e attacchi a forza bruta, affidando l’accesso a metodi di verifica avanzati quali dati biometrici, PIN o token hardware.

Eppure, la ricerca condotta da SquareX ha evidenziato una criticità che molti avevano sottovalutato: la debolezza insita nei browser. In particolare, il team di esperti ha dimostrato che estensioni malevole o script dannosi possono infiltrarsi nel processo di registrazione delle passkey, sostituendo le chiavi legittime con altre sotto il controllo degli attaccanti. Il risultato è che l’utente, convinto di aver eseguito correttamente la procedura, si trova in realtà esposto a una compromissione totale del proprio account, senza alcun segnale visibile di anomalia.

Questa vulnerabilità risulta ancora più allarmante se si considera che gli attuali sistemi di difesa adottati dalle aziende non sono progettati per monitorare manipolazioni di questo tipo a livello di browser. La fiducia cieca nel sistema biometrico rischia di trasformarsi in un falso senso di sicurezza, mentre i criminali informatici possono agire indisturbati, aggirando le protezioni implementate.

Come ridurre i rischi legati alle Passkey

Per ridurre i rischi legati a queste vulnerabilità, gli esperti suggeriscono una serie di pratiche di prevenzione del rischio, per evitare che un malware possa introdursi nel dispositivo e sottrarre o modificare le passkey. In primo luogo, è fondamentale affidarsi a un antivirus sempre aggiornato, in grado di intercettare tempestivamente eventuali minacce provenienti dal web. Inoltre, si raccomanda di installare estensioni per il browser esclusivamente da fonti certificate e di mantenere il software costantemente aggiornato, così da beneficiare delle ultime patch di sicurezza.

Per chi utilizza ancora sistemi di accesso tradizionali, l’uso di un password manager rappresenta una soluzione efficace per gestire credenziali complesse e ridurre il rischio di compromissione. A questo si aggiunge l’implementazione di app di autenticator come ulteriore livello di protezione, rendendo più difficile per gli attaccanti accedere agli account anche in caso di furto delle credenziali principali.

È inoltre prudente limitare il numero di dispositivi utilizzati per l’accesso a servizi sensibili, così da restringere il perimetro di esposizione e rendere più semplice la gestione della sicurezza.