Tutti i segreti della Cybersecurity: il blog di Cyberoo

Passwordless Authentication: cos’è e perché cambia la superficie d'attacco

Scritto da CYBEROO | 2 luglio 2026

 

Ogni volta che un’azienda chiede a un utente di ricordare una password, sta facendo una scommessa. Scommette che quella password non venga riutilizzata, salvata nel posto sbagliato, esfiltrata da un malware infostealer o consegnata a una pagina di phishing costruita abbastanza bene da sembrare legittima.

Per anni abbiamo accettato questa scommessa come parte naturale della sicurezza digitale. Il problema è che gli attaccanti hanno imparato a vincerla con troppa facilità. Il motivo è semplice: la password non è soltanto scomoda, è un segreto condiviso.

Qualcosa che l’utente conosce, che un sistema verifica e che un attaccante può rubare, comprare, intercettare o farsi consegnare con una pagina abbastanza credibile.

Le implementazioni passwordless phishing-resistant basate su FIDO2/WebAuthn nascono esattamente da questa consapevolezza: non come l’ennesima promessa di login più rapido, ma come tentativo di togliere agli attaccanti una delle leve più redditizie dell’intero cyberspazio.

 

Il passwordless cambia il modello di fiducia

La prima tentazione, quando si parla di passwordless, è ridurre tutto alla user experience: meno campi da compilare, meno password dimenticate, meno ticket aperti all’helpdesk.

È vero, ma è anche la parte meno interessante. Il cambio reale avviene più in profondità: l’autenticazione smette di basarsi su qualcosa che l’utente sa e inizia a basarsi su una prova che il dispositivo può generare.

Nel modello basato su FIDO2/WebAuthn e passkey, cioè credenziali FIDO sincronizzabili o legate al dispositivo, durante la registrazione viene creata una coppia di chiavi: quella pubblica viene associata al servizio, mentre la chiave privata rimane protetta all’interno dell’autenticatore e non viene mai trasmessa al servizio. L’identità non viene più dimostrata rivelando un segreto, ma producendo una prova crittografica.

È qui che il phishing tradizionale perde gran parte della sua forza. Una pagina di phishing può imitare perfettamente l’interfaccia di un servizio, copiare un logo, creare urgenza e sembrare credibile anche a un utente esperto.

Ma non può soddisfare i controlli sull’origine effettuati dal browser e dall’autenticatore. La challenge di autenticazione è vincolata all’origine per cui la credenziale è stata registrata, secondo il principio dell’origin binding.

Se l’origine non coincide, browser e autenticatore rifiutano la procedura di autenticazione. In altre parole: non si chiede all’utente di essere infallibile, si riduce il margine in cui il suo errore può diventare un incidente.

 

Il punto cieco dei segreti condivisi

Il problema delle password è che sembrano semplici finché non le si guarda come lo farebbe un attaccante.

Per l’azienda sono un mezzo di accesso. Per chi attacca sono un asset: riutilizzabile, rivendibile, combinabile con altri dati, spesso valido su più servizi e talvolta dimenticato in archivi, browser, file esportati o strumenti non governati.

Anche quando una password viene conservata in modo ordinato, il rischio non sparisce. Questo non riduce il valore dei password manager, che restano la soluzione raccomandata quando le password sono ancora necessarie, ma evidenzia che non eliminano il rischio intrinseco dei segreti condivisi. Un contenitore cifrato può essere tecnicamente robusto e, allo stesso tempo, inserirsi in un processo fragile. La sicurezza non vive solo nell’algoritmo, ma nel ciclo di vita del segreto: dove nasce, dove viene copiato, chi lo apre, chi lo sincronizza, chi lo conserva, chi lo revoca quando una persona cambia ruolo o lascia l’organizzazione.

È qui che molte strategie iniziano a mostrare le crepe. Proteggere bene un archivio non significa governare bene l’identità.

Se non esiste una visione centralizzata degli accessi, se le copie obsolete restano in circolazione, se la revoca è manuale o se l’endpoint compromesso può comunque leggere ciò che l’utente vede, il rischio resta attivo. Solo che diventa più silenzioso, e quindi più pericoloso.

 

 

Rischi reali: cosa cambia per gli attaccanti

Il passwordless non è una bacchetta magica. Ed è importante dirlo subito, perché ogni tecnologia raccontata come soluzione definitiva finisce per creare nuove zone cieche.

Quello che cambia non è l’esistenza del rischio, ma la sua posizione. Le tecniche basate sul furto della password e sul riutilizzo di codici perdono efficacia; diventano invece più importanti alcuni punti di controllo spesso sottovalutati:

  • recupero account;
  • enrollment di nuovi dispositivi;
  • abuso di sessioni valide;
  • compromissione dell’endpoint;
  • aggiunta fraudolenta di autenticatori.

Nel modello tradizionale, l’attaccante cerca qualcosa di molto concreto: una credenziale da monetizzare. Può ottenerla con phishing, infostealer, malware, social engineering, estensioni malevole, sincronizzazioni compromesse o archivi esportati e dimenticati. Una volta ottenuta, può provarla altrove, rivenderla, combinarla con altre informazioni o usarla per muoversi lateralmente.

Con le implementazioni passwordless phishing-resistant basate su FIDO2/WebAuthn, il gioco cambia. Non basta più convincere una persona a digitare una password o a consegnare un codice temporaneo.

L’attaccante deve puntare al processo: prendere controllo di una sessione, compromettere un endpoint, sfruttare malware locale, rubare fisicamente un dispositivo, manipolare una procedura di recovery o forzare l’enrollment di un nuovo autenticatore.

È qui che la sicurezza dell’identità smette di essere una schermata di login e diventa governance continua.

 

Vantaggi in azienda: dove il passwordless crea valore

Il vantaggio più visibile del passwordless è facile da raccontare: meno password da ricordare, meno reset, meno ticket, meno frizione.

Ma il vero valore è meno immediato e molto più strategico. Ogni password eliminata è un segreto in meno da proteggere, una credenziale in meno da rubare, una leva in meno per l’ingegneria sociale.

Per questo il ritorno non va misurato solo nei minuti risparmiati durante il login. Va letto nella capacità dell’organizzazione di contenere abusi, ridurre escalation, accorciare i tempi di revoca e impedire che un errore individuale diventi un incidente sistemico. In un ecosistema in cui gli attaccanti usano identità legittime, sessioni rubate e token attivi, la qualità del controllo sugli accessi diventa una metrica di resilienza, non una funzione amministrativa.

 

Quando le password restano necessarie

Naturalmente, nessuna azienda reale cancella tutte le password con un interruttore. In molti contesti, la gestione dei segreti resta ancora una necessità operativa, soprattutto quando esistono:

  • applicazioni non federabili;
  • account tecnici;
  • ambienti isolati o sistemi industriali;
  • accessi temporanei;
  • credenziali che non entrano ancora nei flussi moderni di autenticazione.

Il punto è non confondere l’eccezione con la strategia. Una password residua può essere accettabile solo se vive dentro un processo chiaro, con:

  • responsabilità definite;
  • accessi limitati;
  • backup controllati;
  • revoca documentata;
  • audit periodici;
  • endpoint protetti;
  • regole precise sulla condivisione.

Se invece l’organizzazione accumula segreti senza una visione centrale, non sta riducendo il rischio. Lo sta solo rendendo più ordinato in apparenza.

La direzione più matura è quindi chiara: ridurre progressivamente i segreti riutilizzabili, lasciare le password solo dove non esiste ancora un’alternativa sostenibile e governare con rigore ciò che resta. Il problema nasce quando ciò che dovrebbe essere residuale torna a essere il modello principale.

 

Compliance e sicurezza verificabile

Anche le linee guida più recenti favoriscono l’adozione di controlli di autenticazione più robusti e proporzionati al rischio, soprattutto nei contesti esposti a phishing, furto di credenziali e abuso di sessioni.

Non basta aggiungere un secondo fattore se quel fattore può essere intercettato, aggirato o approvato per stanchezza. OTP via SMS, codici temporanei e push approval hanno alzato l’asticella rispetto alla sola password, ma non sempre bastano nei contesti ad alto rischio.

Serve un salto di qualità: metodi basati su prova crittografica, legame con l’origine e gestione controllata degli autenticatori, non solo un passaggio in più nel flusso di login.

In Europa, questo cambiamento si inserisce in un quadro normativo più ampio. NIS2, GDPR e DORA non impongono l'adozione del passwordless, ma richiedono controlli di sicurezza adeguati al rischio, efficaci, verificabili e governabili nel tempo. In questo contesto, anche il principio di accountability previsto dal GDPR assume un ruolo centrale: non basta dichiarare che un accesso è protetto, occorre poter dimostrare chi ha effettuato l'accesso, con quale metodo di autenticazione, da quale dispositivo o autenticatore, con quale livello di assurance, con quali privilegi e attraverso quali meccanismi di gestione e revoca delle credenziali.

Letto in questa prospettiva, il passwordless non rappresenta una moda tecnologica, ma una delle possibili soluzioni per rafforzare la sicurezza dell'identità e renderla maggiormente verificabile.

 

Non basta proteggere le password

Le password non spariranno domani, ma non possono più restare il centro dell’identità aziendale. La priorità deve essere ridurre progressivamente tutto ciò che può essere rubato, riutilizzato o monetizzato: password personali, credenziali condivise, accessi legacy, segreti tecnici e procedure di recupero troppo deboli.

Per farlo servono alcune scelte chiare:

  • adottare implementazioni phishing-resistant basate su FIDO2/WebAuthn dove il rischio è più alto;
  • partire dagli account privilegiati e dagli utenti più esposti;
  • controllare con rigore l’enrollment dei dispositivi;
  • rendere robuste le procedure di recovery;
  • mantenere visibilità continua su sessioni, privilegi e autenticatori registrati.

Il passwordless non va quindi trattato come un progetto di semplificazione del login, ma come una decisione di sicurezza e governance. Dove le password restano necessarie, devono essere poche, tracciate, revocabili e inserite in processi controllati. Dove possono essere eliminate, vanno eliminate. Perché difendere meglio le password non basta più: serve ridurre al minimo le condizioni in cui una credenziale può diventare il primo passo di una compromissione.