TLDR
- Le passkey rendono molto più difficile rubare e riusare password, ma non cancellano l'account takeover.
- Quando il login diventa più forte, l'attacco si sposta su recovery, verifica identità, help desk e cambio dispositivo.
- Il rischio non è la passkey in sé: è tutto quello che permette di sostituirla, ripristinarla o aggirarla.
- Difesa: recovery robusta, segnali di rischio, limiti sui cambi account, audit e formazione del supporto.
Perché conta ora
Le password stanno perdendo centralità.
Finalmente.
Passkey, WebAuthn e autenticazione resistente al phishing rendono molto più difficile il vecchio gioco: rubo una password, la provo altrove, entro. Il valore della password rubata scende quando l'account non si apre più con una stringa memorizzabile.
Ma gli attaccanti non spariscono. Cambiano porta.
Se il login frontale diventa più duro, il bersaglio diventa tutto ciò che permette di recuperare, sostituire, verificare o spostare l'identità digitale.
La nuova domanda non è solo "come accedi?".
È "come dimostri chi sei quando qualcosa va storto?".
La recovery è il nuovo login
Molti sistemi trattano il recupero account come un flusso secondario. È un errore.
Per l'attaccante, recovery e supporto non sono funzioni di emergenza. Sono superfici d'attacco.
Esempi:
- cambio email dopo accesso sospetto;
- reset MFA via supporto;
- aggiunta di un nuovo telefono;
- recupero tramite email primaria compromessa;
- verifica identità con documenti manipolati;
- help desk convinto da una storia urgente;
- sessione mantenuta dopo cambio credenziali;
- passkey rimossa e sostituita con metodo più debole.
Se il recupero è più debole del login, l'attaccante non attaccherà il login.
Attaccherà il recupero.
Passkey: forte non significa magico
Le passkey sono una delle migliori evoluzioni pratiche dell'autenticazione consumer e aziendale. Sono legate al dominio, non richiedono digitazione, riducono phishing e credential stuffing.
Ma non proteggono automaticamente:
- email usata per recovery;
- SIM swap;
- supporto clienti debole;
- sessioni già rubate;
- dispositivi sbloccati;
- malware locale;
- abuso di flussi di verifica;
- policy che permettono downgrade.
La passkey protegge il momento del login. L'account vive anche fuori da quel momento.
Cosa deve cambiare per i servizi
Un servizio serio dovrebbe trattare i cambi sensibili come eventi ad alto rischio:
- Aggiunta o rimozione di passkey.
- Cambio email primaria.
- Cambio numero di telefono.
- Reset MFA.
- Accesso da device nuovo.
- Richiesta di recupero da geografia insolita.
- Modifica dati di pagamento.
- Download massivo di dati.
- Cambio password subito dopo recovery.
Questi eventi non devono essere solo permessi o negati. Devono essere correlati.
Se un account aggiunge un nuovo dispositivo, cambia email, rimuove MFA e prova a prelevare dati in dieci minuti, non è un utente efficiente. È un incendio.
Cosa può fare l'utente
Per una persona normale ma attenta:
- attiva passkey sui servizi principali;
- proteggi l'email primaria con passkey o MFA forte;
- rimuovi metodi di recovery vecchi;
- evita SMS come unico recupero;
- controlla sessioni attive;
- attiva notifiche per nuovi login e cambi sensibili;
- usa password manager anche se passi alle passkey;
- non approvare richieste di verifica che non hai iniziato tu.
La tua email principale è spesso la chiave di riserva di tutta la casa. Trattala come un account root personale.
La lezione Able2Code
Le passkey chiudono una porta importante.
Benissimo.
Ora bisogna guardare le finestre: recovery, supporto, verifica identità, device enrollment, sessioni, email primaria.
L'account takeover moderno non è sempre una password rubata. A volte è una storia credibile raccontata al flusso giusto.
La sicurezza non finisce quando il login diventa elegante.
Comincia quando anche l'emergenza smette di fidarsi troppo.
FAQ
Le passkey eliminano il phishing?
Riducono drasticamente molte forme di phishing perché sono legate al dominio e non si digitano come password. Ma non eliminano social engineering, recovery abuse e frodi sul supporto.
Che cos'è ATO?
ATO significa account takeover: un attaccante prende controllo di un account, spesso tramite credenziali rubate, sessioni, recovery o verifica identità manipolata.
Qual è il nuovo bersaglio dopo le password?
I passaggi di verifica: recupero account, cambio email, cambio telefono, reset MFA, supporto clienti, onboarding nuovo dispositivo e controlli KYC deboli.
Cosa deve fare un servizio online?
Rendere forti i flussi di recovery quanto il login, rallentare cambi sensibili, usare risk scoring e bloccare azioni critiche dopo segnali sospetti.
Cosa deve fare un utente?
Attivare passkey dove possibile, proteggere email primaria, rimuovere metodi di recovery deboli e diffidare da richieste improvvise di verifica.