Le passkey sono progettate per sostituire le password e combattere gli attacchi di phishing, ma sia Google che Microsoft avvertono che non sono sufficienti se persistono metodi di ripristino più deboli. Microsoft ha dichiarato: “Ogni account è sicuro tanto quanto la sua credenziale più debole”, indicando che le password e le opzioni di ripristino degli SMS potrebbero comunque fornire nuove superfici di attacco anche dopo l’implementazione delle passkey.

Google riconosce che le passkey facilitano un accesso online più semplice e sicuro rispetto alle password e ad altri metodi tradizionali di autenticazione a più fattori. Tuttavia, la società avverte che gli utenti devono anche proteggere i propri account con la verifica in due passaggi (2SV) per proteggerli da tentativi di impersonificazione che potrebbero sfruttare le passkey perse.

Le vulnerabilità nei processi di ripristino automatizzati possono consentire agli aggressori di utilizzare credenziali più deboli per aggirare completamente le passkey. Secondo Microsoft, mentre l’implementazione delle passkey migliora la sicurezza dell’accesso, molti account continuano ad avere opzioni di ripristino di password o SMS ad essi collegati, preservando così potenziali superfici di attacco. “L’implementazione delle passkey migliora l’accesso”, ha affermato Microsoft, sottolineando i rischi presentati da metodi di ripristino deboli.

You Might Also Like
GrapheneOS collabora con OEM per il supporto del flagship Snapdragon
GrapheneOS collabora con OEM per il supporto del flagship Snapdragon
OpenAI punta al 2027 per il lancio del suo altoparlante alimentato da intelligenza artificiale da $ 200
OpenAI punta al 2027 per il lancio del suo altoparlante alimentato da intelligenza artificiale da $ 200
Amazon abbandona la partnership pianificata di Ring con Flock Safety
Amazon abbandona la partnership pianificata di Ring con Flock Safety

La soluzione di ripristino ottimale prevede l’utilizzo della passkey dell’account su un dispositivo diverso. Microsoft ha inoltre osservato che un metodo di recupero superiore include la presentazione di un documento d’identità rilasciato dal governo e la verifica biometrica, in linea con le raccomandazioni del NIST per un recupero ad alta garanzia.

Microsoft si rivolge principalmente agli utenti aziendali, mentre Google si concentra sugli utenti domestici. Nonostante questa distinzione, entrambi riconoscono che servizi come Gmail rimangono bersagli attraenti per i criminali informatici. Google esorta gli utenti a implementare la verifica in due passaggi per una maggiore protezione contro l’accesso non autorizzato, in particolare considerando il rischio che gli aggressori utilizzino in modo improprio il processo di recupero dell’account.

Google sottolinea la necessità di utilizzare due tipi specifici di 2SV: i prompt di Google e un’app Authenticator sui dispositivi mobili. Sia Google che Microsoft sconsigliano di fare affidamento sui codici SMS monouso, classificandoli come forme deboli di autenticazione a più fattori che dovrebbero essere completamente disabilitati a favore di alternative più sicure.

Sebbene l’adozione delle passkey sia in aumento, Microsoft avverte che la loro efficacia dipende dalla completa eliminazione delle credenziali di phishing da parte degli utenti. Google sottolinea che, sebbene le passkey siano uno sviluppo cruciale, non sono una soluzione infallibile, soprattutto perché gli aggressori prendono sempre più di mira i flussi di ripristino e i metodi di autenticazione di fallback.