Le passkey vengono spesso raccontate come la soluzione che chiude definitivamente la questione delle password. Niente più credenziali da ricordare, niente più phishing tradizionale, niente più codici OTP da copiare in fretta prima che scadano. Dal punto di vista tecnico, è difficile negare che rappresentino uno dei cambiamenti più importanti degli ultimi anni nel mondo dell’autenticazione online. Eppure c’è un aspetto che resta ai margini della discussione pubblica: con le passkey, il vero obiettivo di chi attacca non è più la password. È il dispositivo dell’utente. Lo smartphone, il notebook, il browser stesso diventano il cuore di tutto. E questo cambia parecchio le regole del gioco.
Partiamo da un equivoco piuttosto diffuso. Molti pensano alle passkey come a una specie di password più evoluta. In realtà il modello tecnico è radicalmente diverso. Le passkey si fondano sugli standard FIDO2 e WebAuthn, sfruttando la crittografia asimmetrica: una chiave pubblica viene registrata sul server del servizio, mentre una chiave privata resta custodita esclusivamente sul dispositivo dell’utente. Quando si effettua il login, il server invia una sfida crittografica, il dispositivo la firma con la chiave privata e il server verifica la risposta tramite la chiave pubblica. Il punto fondamentale è che la chiave privata non esce mai dal dispositivo. È questo che rende le passkey resistenti al phishing: il browser verifica il dominio reale del sito, e se qualcuno crea una copia fasulla, la challenge crittografica semplicemente non corrisponde. La credenziale non viene rilasciata. Niente da fare nemmeno per il classico credential stuffing, quella tecnica che sfrutta il fatto che il 94% delle password viene riutilizzato su più piattaforme.
Malware, infostealer e session hijacking funzionano ancora perfettamente
Detto tutto questo, sarebbe un errore pensare che le passkey eliminino ogni rischio. Oggi molti gruppi criminali hanno già cambiato strategia: evitano del tutto la fase di login e puntano direttamente al dispositivo già autenticato o alla sessione attiva dell’utente. Malware e infostealer sono software malevoli capaci di compromettere il sistema, leggere i dati memorizzati nel browser, intercettare cookie e token di sessione. In uno scenario del genere, che l’utente usi password o passkey conta relativamente poco, perché l’attaccante non ha bisogno di autenticarsi da zero. Sfrutta direttamente una sessione già aperta.
Lo stesso discorso vale per le estensioni malevole del browser, per le vulnerabilità del browser stesso, per i processi compromessi. Una volta ottenuti cookie e token, il criminale può impersonare l’utente senza conoscere alcuna credenziale. È il cosiddetto session hijacking: invece di rubare la chiave di accesso, si sottrae il “biglietto” che dimostra al server che l’utente è già dentro. Gli infostealer più diffusi oggi non cercano solo password salvate nei browser: puntano soprattutto a cookie di sessione, token OAuth, sessioni di servizi cloud, wallet di criptovalute. L’obiettivo è bypassare qualsiasi forma di autenticazione sfruttando il fatto che il login è già stato effettuato dalla vittima.
Il dispositivo è diventato l’identità digitale stessa
Con le passkey, smartphone, notebook e browser diventano parte integrante dell’infrastruttura di fiducia. La sicurezza poggia su componenti come Secure Enclave sugli iPhone, Trusted Platform Module (TPM) su Windows, Trusted Execution Environment (TEE) e Android Keystore su Android, oltre a iCloud Keychain e Google Password Manager. Tutti questi elementi custodiscono chiavi private, token crittografici, credenziali sincronizzate e dati biometrici. Il dispositivo smette di essere un semplice strumento e diventa parte dell’identità digitale stessa.
C’è poi la questione della sincronizzazione cloud. Molte passkey oggi vengono automaticamente replicate tramite iCloud Keychain o Google Password Manager, il che migliora enormemente l’usabilità in caso di cambio smartphone o ripristino degli account. Ma introduce anche un nuovo elemento critico: l’account cloud centrale. Se un aggressore compromette l’Apple ID o l’account Google, può potenzialmente accedere all’intero ecosistema che custodisce e sincronizza le passkey dell’utente.
Le piattaforme moderne stanno rispondendo con sistemi di device attestation, meccanismi che verificano non solo l’identità dell’utente ma anche l’affidabilità tecnica del dispositivo. Google utilizza Play Integrity API, Apple implementa controlli basati su Secure Enclave e firma hardware. Un telefono con bootloader sbloccato o firmware modificato può essere classificato come meno affidabile o addirittura escluso da alcune funzionalità. Attorno a questo tema stanno emergendo discussioni importanti: progetti come GrapheneOS sostengono che tali sistemi rischino di trasformarsi in strumenti di controllo dell’ecosistema piuttosto che in semplici tecnologie antifrode, penalizzando dispositivi sicuri ma non certificati ufficialmente dai grandi vendor. Una direzione che promette maggiore sicurezza contro bot, frodi e malware, ma che apre interrogativi su interoperabilità, libertà dell’utente e concentrazione del controllo tecnologico nelle mani di pochi grandi operatori.
