Password addio, non le userete mai più: il nuovo metodo per sconfiggere hacker e cybercriminali

Password, il segreto è svelato: cybercriminali e hacker le scardinano con sofisticate TTP

Il 1° maggio non sarà solo la Festa dei lavoratori (che cast al Concertone: da Elodie ad Achille Lauro e...), ma si celebra anche  World Password Day. La difesa che tutti usano contro le minacce di hacker e cybercriminali, ma anche la 'croce' di tante persone che spesso finiscono per scordarsele tra i mille siti e app che usano. Ma, queste parole d'accesso, codici segreti sono sempre meno... segrete e sempre più vulnerabili anche ingegnandosi con codici d'accesso complessi.  

L'analisi di Sophos , leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cybercriminali, infatti in evidenza in limiti insiti nell'uso delle password e dei metodi di autenticazione basata sulla conoscenza. E fa una predizione che mette in allarme gli utenti web e social: durante il 2025 il ricorso a sofisticate TTP (Tecniche, Tattiche e Procedure) metterà gli autori degli attacchi nella posizione di poter aggirare facilmente i metodi di autenticazione tradizionali. 

Non è un caso che, per il secondo anno consecutivo, l'edizione 2025 dell'Active Adversary Report di Sophos indica proprio le credenziali compromesse come la principale causa di attacchi (41% dei casi esaminati). Utenti e aziende devono dunque andare oltre le password usando metodi più robusti per proteggere i loro dati dai furti di credenziali.

Password, limiti della protezione basata sulla conoscenza

L'autenticazione duale o multifattore (2FA/MFA) è ampiamente diffusa. Eppure, come nel caso delle password, questi ulteriori livelli di protezione si affidano spesso alla conoscenza di codici segreti inviati tramite SMS o applicazioni di autenticazione. Molti di questi metodi restano purtroppo vulnerabili: i cybercriminali hanno oggi a disposizione strumenti che, come evilginx2, permettono di aggirare facilmente queste protezioni automatizzando le attività di phishing o la sottrazione dei cookie di sessione.

Questo significa che rimandare costantemente, tramite fragili aggiunte, la fine dell'uso delle password è una decisione piena di pericoli. La realtà delle cyberminacce dovrebbe spingere le aziende verso un cambio di paradigma tale da abbandonare il modello basato sulle password e sulla conoscenza di segreti condivisi.

World Password Day - WebAuthn e chiavi di accesso: autenticazione multifattore più solida?

Per proteggersi dal phishing, il protocollo WebAuthn - che nello specifico usa chiavi di accesso o passkey - trova oggi il consenso degli esperti di cybersicurezza. Con questo metodo viene generata una coppia di chiavi crittografiche, una pubblica e una privata, al momento della creazione di un nuovo account. Le chiavi vengono memorizzate localmente: la chiave pubblica sul server del sito, quella privata sul terminale dell'utente insieme con il nome del sito e il relativo ID utente.

Per effettuare il login non è necessario più digitare una password o un codice segreto condiviso tramite SMS o applicazione di autenticazione; il server invia invece una richiesta di autenticazione digitale che può essere soddisfatta esclusivamente se l'utente possiede fisicamente un certo dispositivo ed è in grado di provare il possesso della chiave privata, ad esempio tramite una verifica biometrica. L'autenticazione, dunque, si basa ancora su due fattori, ma questi non dipendono dalla conoscenza di qualcosa bensì dal possesso fisico del dispositivo e dalle caratteristiche biometriche dell'utente stesso: elementi che, in linea di principio, non possono essere sottratti attraverso i tradizionali metodi di phishing.

In più il processo di autenticazione comprende un controllo bidirezionale che permette all'utente di verificare l'identità del servizio attraverso il dominio del sito, che viene inviata quando il server richiede l'autenticazione. A differenza dei metodi basati sulla conoscenza di password e codici segreti, l'utente non è più l'unico obbligato a provare la propria legittimità.

Precauzioni per un'autenticazione robusta e semplificata

Questo nuovo standard di settore, basato sullo standard FIDO2, sembra offrire protezione contro il phishing - il principale vettore per i furti di credenziali - semplificando allo stesso tempo l'autenticazione da parte degli utenti.

Ciononostante, per quanto WebAuthn rappresenti un notevole passo avanti, rimangono ancora diverse vulnerabilità e la necessità di esercitare cautela:

È essenziale garantire la sicurezza del dispositivo o del cloud in cui sono memorizzate le chiavi;
Il passaggio a WebAuthn richiede l'adozione di questa tecnologia da parte delle aziende;
Il furto dei cookie di sessione continua ad essere un vettore di attacco capace di aggirare questo tipo di protezione.
È importante tenere a mente che i criminali informatici sono costantemente impegnati a perfezionare i loro metodi di attacco. Ecco perché adottare queste tecnologie dovrebbe essere una priorità per la cybersicurezza delle aziende.

Secondo Chester Wisniewski, Director, Global Field CISO di Sophos: " Dobbiamo abbandonare la dipendenza da password e codici segreti condivisi. Le chiavi di accesso o passkey rappresentano oggi la soluzione più robusta per creare un futuro senza password né phishing né, si spera, violazioni di sicurezza su vasta scala ".