Le passkey sono progettate per sostituire le password e combattere gli attacchi di phishing, ma Google e Microsoft avvertono che non sono sufficienti se rimangono in uso metodi di ripristino più deboli. “Ogni account è sicuro tanto quanto la sua credenziale più debole”, ha affermato Microsoft, sottolineando che le password e il recupero degli SMS possono creare nuove vulnerabilità anche dopo la distribuzione delle passkey.
Google ha riconosciuto che “le passkey sono un modo più semplice e sicuro per accedere agli account online rispetto alle password e persino ai tradizionali metodi a più fattori”, ma ha sottolineato che non sono del tutto sicure da sole. L’azienda ha avvertito gli utenti che “anche quando utilizzi normalmente una passkey, è importante proteggere il tuo account con la verifica in due passaggi (2SV)”. Questo ulteriore livello di sicurezza è essenziale, soprattutto se qualcuno tenta di impersonare l’utente e afferma di aver perso la propria passkey.
I processi di ripristino automatizzato che sfruttano credenziali più deboli possono aggirare una passkey, rendendo essenziale proteggere ulteriormente gli account. Microsoft ha segnalato il ripristino dell’account come una nuova superficie di attacco in un momento in cui aumenta l’adozione delle passkey e diminuiscono i metodi di attacco tradizionali. “L’implementazione delle passkey migliora l’accesso”, ha osservato Microsoft, “ma la maggior parte degli account ha ancora una password o un metodo SMS allegato ‘per ogni evenienza’ e finché esistono tali credenziali, rappresentano una superficie di attacco.”
Il metodo di ripristino consigliato prevede l’utilizzo della passkey dell’account su un dispositivo diverso per completare eventuali passaggi di ripristino. Microsoft ha anche suggerito metodi di recupero ad alta garanzia che richiedono un documento d’identità emesso dal governo e la verifica biometrica, come una scansione del volto, affermando: “Come raccomanda il NIST, il recupero ad alta sicurezza richiede un documento d’identità emesso dal governo e la verifica biometrica”.
Queste linee guida sono rivolte principalmente agli utenti aziendali per Microsoft e agli utenti domestici per Google. Nonostante il diverso pubblico, entrambe le società riconoscono le minacce che persistono. Google ha sottolineato che gli account di alto valore come Gmail sono costantemente sotto attacco, esortando gli utenti a implementare la verifica in due passaggi per migliorare la sicurezza. Gli utenti dovrebbero anche selezionare forme efficaci di 2SV, come i messaggi di Google e un’app Authenticator, abbandonando i codici SMS monouso, che sono considerati metodi più deboli.
Con l’accelerazione dell’adozione delle passkey, Microsoft ha ribadito che le protezioni funzioneranno solo se gli utenti eliminano tutte le credenziali di phishing. L’avvertimento di Google sulle limitazioni delle passkey è particolarmente rilevante in quanto gli aggressori iniziano a concentrarsi sui flussi di ripristino e sui metodi di autenticazione di fallback. La continua evoluzione delle minacce richiede una strategia di sicurezza completa che includa metodi di ripristino robusti che vadano oltre la semplice implementazione delle passkey.
