Dietro quel gesto, impercettibile eppure rivoluzionario, c’è una passkey ovvero una coppia di chiavi crittografiche, custodite dal vostro dispositivo, che manda definitivamente in pensione le password.

Perché l’anno dei passkey?

Questo è tutt’altro che uno slogan da titolo di copertina. A Maggio 2025 i dispositivi in grado di effettuare accessi con passkey sono il 90,93% del parco globale. Il 74% dei consumatori che hanno un dispositivo passkey-ready conoscono questa tecnologia. Di questi il 69% l’ha già abilitato ed il 50% dei sito della top 100 mondiale lo hanno già integrato nei loro sistemi.

Pertanto possiamo sicuramente affermare che il 2024 è stato l’anno pilota mentre il 2025 sarà quello di adozione di massa con numeri ormai superiori a qualsiasi precedente tecnologia di login.

Come funziona il passkey?

Te lo spiego in tre concetti chiave:

1. Coppia di chiavi – Una pubblica che finisce sul server, una privata che non esce mai dal tuo rispositivo
2. FIDO2 è WebAuthn – Sono due standard aperti, già inclusi in tutti i browser moderni
3. Biometria come unlock, non come credenziali – È il tuo volto a sbloccare la chiave privata senza che questa “se ne vada in giro” per la rete.

Coppia di chiavi – La serratura a due mandate

Abbiamo detto che uno degli elementi chiave del sistema passkey è una coppia di chiavi (pubblica e privata).

La chiave pubblica è come l’indirizzo della tua cassetta postale: chiunque può conoscerlo e usarlo per “imbucare” una lettera. Questa chiave viene salvata nel database del servizio quando ti registri al servizio.

La chiave privata è la chiave che apre fisicamente la cassetta e questa resta sempre nella tua tasca (nel chip del telefono, o nel tuo browser). Non lascia mai la tua tasca/dispositivo.

Come funziona il login?

Il server lancia challenge casuale, il dispositivo firma la challenge con la chiave privata. Il server verifica la firma con la chiave pubblica che ha già.

Se la firma è valida, ti sei autenticato e nessuna password ha attraversato la rete.

Perché è un sistema più protetto questo?

Perché un hacker che riuscisse ad avere accesso al database è in grado di ottenere solamente chiavi pubbliche che sono inutili senza la corrispondente chiave privata.

FIDO2 + WebAuthn: lo standard che unisce hardware e web

Per capire perché le passkey funzionano ovunque senza che l’utente debba installare nulla basta vedere come FIDO2 ha unito due mondi che prima non si parlavano: quello del Web e quello dell’hardware di sicurezza.

Immaginati una tavola di leggi che stabilisce delle regole generali. I principi sono autenticazione senza password, protezione anti-phishing e interoperabilità tra dispositivi. Sotto queste leggi convivono due componenti:

WebAuthn

È un’API JavaScript ufficiale del W3C già presente in Chrome, Safari, Firefox, Edge ed altri browser minori. Dal punto di vista dello sviluppatore è l’unica interfaccia che serve, chiama:

navigator.credentials.create()


per registrare la passkey e

navigator.credentials.get()


per usarla.

Tutto il resto: generazione coppia di chiavi, visualizzazione e utilizzo di Face ID/Touch ID, firmare la challenge, accade dietro le quinte.

CTAP2

Una votla che il browser ha ricevuto la richiesta via WebAuthn, deve parlare con l’hardware che custodisce la chiave privata: può essere il chip Secure Enclave di un iPhone, il TPM di un laptop Windows, una YubiKey YSB-C o una chiavetta NFC. Il linguaggio usato per questo dialogo è CTAP2 (Client To Authenticator Protocol 2), definito dalla FIDO Alliance. Così l’autenticatore resta libero di evolvere (oggi può essere impronta digitale, domani impronta retinica), senza costringere i siti web a cambiare codice.

Perché questo doppio strato è importante?

Perché garantisce che lo stesso back-end che integra WebAuthn parlarà indistintamente con un telefono Android o con una chiave hardware, perché il livello CTAP2 è astratto. È importante perché ci da sicurezza antiphishing poiché la chiave privata è vincolata al dominio per la quale è stata creata; se un sito fasullo prova a infannare il browser, CTAP2 si rifiuta di firmare la challenge. Ha una compatibilità graduale, ovvero se un dispositivo non offre nativamente un autenticatore compatibile, il browser può ritornare ai metodi di autenticazione classici, ad esempio login con password e OTP senza rompere l’esperienza d’uso.

In sostanza, FIDO2 è il ponte, WebAuthn è la corsia per gli sviluppatori e CTAP2 è l’autostrada riservata ai chip di sicurezza. Grazie a questa architettura a strati possiamo abilitare le passkey con poche righe di codice e avere la certezza che continueranno a funzionare quando arriveranno nuovi dispositivi che potrebbero implementare altre forme di biometria.

Dove stiamo già utilizzando la tecnologia Passkey?

Da iOS 18 Apple integra l’app “Passwords” che centralizza password e passkey; Touch ID o Face ID le sbloccano.

Con Windows Hello in Windows 11 si possono creare e usare passkey su Edge, Chrome e Firefox senza installare nulla.

In Android 15 l’API Credential Manager consente “single-tap sign-in” fra passkey, Google Sign-In e password tradizionale.

Per l’utente è il telefono che fa il login da solo, per il reparto sicurezza è un addio al phishing.

Vantaggi solo per la sicurezza?

I vantaggi non sono solo nella sicurezza ma anche nella velocità. Google ha misurato una velocità di login dimezzata rispetto all’inserimento della combinazione user e password inoltre non è necessario ricordare nessuna password dal momento che la passkey è password-free.

[starbox] 

L'articolo Addio password? Il 2025 è l’anno dei passkey proviene da RENOR & Partners S.r.l..

Può essere un’esperienza da incubo perché l’accoppiata user/password potrebbe essere utilizzata anche per sistemi di pagamento online come PayPal o come password del conto corrente bancario. Insomma, la sicurezza informatica è una cosa SERIA e come tale dev’essere trattata.

In questo altro articolo avevamo parlato dell’importanza della formazione. Essere formati permette di saper riconoscere questo genere di raggiri e tutelare i nostri dati ma anche i nostri conti economici.

Ma andiamo adesso a vedere quali sono le tecniche più utilizzate per rubare le utenze.

Phishing

Il Phishing è un metodo geniale per rubare dati di accesso ed ho voluto menzionarlo di proposito per primo perché è anche il metodo più utilizzato dai Lamer.

Consiste nel creare una pagina web perfettamente identica alla pagina del sito o social di riferimento. Compilando la form di accesso, i nostri dati finiscono nelle mani dei Lamer.

Poniamo ad esempio che siate iscritti su Facebook.
Il sistema per fare Phishing è totalmente automatico:

• Ricevete una finta mail da Facebook che vi induce a fare l’accesso cliccando su un link presente sulla mail
• Cliccando, il link non punta al dominio facebook.com ma ad un altro dominio, ad esempio fakebook.com
• Vi trovate in una pagina di accesso esattamente identica a quella di facebook
• Non fate caso al dominio che nella maggior parte dei casi è in qualche modo simile all’originale
• Compilate i vostri dati nella form e confermate l’accesso
• L’accesso non va a buon fine perché dietro a quella pagina di accesso non c’è nulla e vi viene chiesto di riprovare più tardi
• Dopo un paio di tentativi abbandonate e tutte le password che avete provato ad inserire vengono salvate all’interno di un database
• Il lamer viene notificato della ricezione dei dati di accesso di una nuova vittima e li utilizza per accedere al vostro account e fare il suo comodo
• In alcuni casi lo stesso prova ad utilizzare quella combinazione username e password per accedere ad altre informazioni: ad esempio sulla posta eletttronica, conto corrente postale, ecc. ecc.

Come proteggersi dal Phishing

Per proteggersi da questo genere di attacchi ci sono una serie di controlli da effettuare.

1. All’arrivo di una mail che richiede la connessione ad un portale in cui siete iscritti la prima cosa da fare è verificare l’indirizzo email del mittente (anche se questo può essere facilmente contraffatto). Se già l’indirizzo email del mittente presenta degli elementi strani possiamo serenamente soprassedere. Es. support@fakebook.com
2. Questa è una norma generale… Mentre è facile camuffare un indirizzo email, è IMPOSSIBILE camuffare un dominio. Pertanto ogni volta che vi trovate nel vostro browser ad inserire i vostri dati di accesso verificate l’attendibilità del nome del dominio. Se siete sul dominio fakebook.com chiudete immediatamente la pagina, se siete sul dominio facebook.com potrete procedere con tranquillità.
3. È sempre bene installare un software antivirus e tenerlo aggiornato. Molti di questi messaggi vengono segnalati e un buon antivirus può identificare posta malevola ed eliminarla.

Keylogger

Questa è una metodologia di furto di dati che può essere attuata o previo l’installazione di software sulla macchina, o attraverso l’utilizzo di particolari strumenti hardware inseriti tra il connettore della tastiera e quello della scheda madre.

Un keylogger è più genericamente uno strumento che permette di registrare tutto ciò che viene digitato su una tastiera. Nel caso di KeyLogger software, questi realizzano dei file contenenti tutto il testo digitato e lo inviano sistematicamente per email al Lamer. Per i keylogger hardware è invece necessario raggiungere fisicamente il computer per effettuare il suo inserimento in serie alla tastiera e allo stesso modo rimuoverlo.

I Keylogger non vengono utilizzati unicamente con lo scopo di rubare dati di accesso, ma per rubare informazioni in generale. Come già detto, quello che fanno è copiare su un file tutto ciò che viene digitato sulla tastiera.

Come proteggersi dai Keylogger

Per i keylogger software non c’è altro modo che installare e tenere aggiornato un buon antivirus.

Per i keylogger hardware la strada è quella di verificare che dietro al nostro computer tra la spina della tastiera ed il connetture USB o PS/2 del PC non ci sia nulla di mezzo. Spesso dentro un semplice adattatore potrebbe nascondersi un keylogger.

Ricordati di fare il logout

Il personal computer si chiama così proprio perché è personale. Molte persone accedono ad account personali dall’ufficio su computer che possono essere utilizzati da tutti alla ricerca di informazioni e dimenticano di fare il logout. Anche questo può esporre a rischio. Pertanto ogni volta che devi collegarti da un computer che non sia il tuo personale ricordati sempre di effettuare il logout e di non salvare mail la password nel browser.

I Trojan

Chi non conosce la storia del cavallo di Troia dell’Eneide? Il gigantesco Cavallo che i greci inviarono in dono alla regina Didone pieno dei più valorosi guerrieri di Agamennone guidati da Ulisse in persona…

Questo genere di virus prendono come esempio proprio la storia del cavallo di Troia. Si insinuano all’interno del nostro computer e cominciano a fare danni. Il tutto avviene in background. L’utente non si accorge di nulla, si accorge della presenza del Trojan solamente quando è troppo tardi e i danni sono stati già fatti.

È possibile prendere Trojan attraverso allegati della posta elettronica ma anche attraverso la rete lasciando delle porte aperte.

Come proteggersi dai Trojan

Si raccomanda l’uso di un Firewall e di un buon antivirus. Come sempre si ricorda che l’uso dell’antivirus potrebbe non essere sufficiente se questo non viene costantemente aggiornato al fine di poter riconoscere minacce di nuovi virus.

Esisterebbero anche altri metodi, ma i più utilizzati sono quelli che abbiamo menzionato.
Ora che conoscete il nemico e sapete come difendersi potrete sicuramente navigare con più sicurezza e tranquillità.

[starbox] 

L'articolo Come ti rubano i dati di accesso dei Social proviene da RENOR & Partners S.r.l..

È necessario prestare la massima attenzione!

Ai colloqui non bisogna chiedere solo se sanno utilizzare Excel

Cosa chiedere al colloquio di lavoro come conoscenze informatiche

Personalmente mi occupavo di reclutare solo il personale relativo al settore informatico riguardante lo sviluppo di applicazioni Web. Naturalmente venivano contattati Curriculum interessanti o persone con solide basi, non eccessivamente skillate ma con tanta voglia di imparare. In altri settori, come quello amministrativo, quello marketing ecc. il recruiting delle figure ed il successivo colloquio conoscitivo era affidato al reparto di Selezione del Personale.

Molto spesso, gli operatori della selezione, a meno di non aver lavorato già come recruiter all’interno di aziende informatiche, non sono sufficientemente edotti circa i requisiti che dovrebbe avere un candidato per ciò che concerne la conoscenza minima sull’uso degli strumenti informatici con cui dovrà lavorare.

Molto spesso gli viene chiesto se ha già utilizzato excel e la posta elettronica senza approfondire, proprio su quest’ultima, a cosa si limitano le sue conoscenze; perché è bene sottolineare che saper aprire un messaggio di posta elettronica e rispondere, magari utilizzando altri indirizzi email in copia e copia nascosta, non è sufficientemente esaustivo al fine di difendere i dati presenti all’interno dei data center aziendali.

Una domanda che sicuramente andrebbe fatta è: “prima di aprire un allegato, verifichi che l’indirizzo email del mittente è attendibile?”.

Come riconoscere messaggi contenenti malware?

Se il messaggio non contiene nessun allegato e nessun link probabilmente si tratta solamente di SPAM, ovvero di pratiche pubblicitarie tramite email non autorizzate dal diretto destinatario del messaggio. Molti server di posta elettronica riconoscono questi messaggi e li “flaggano” automaticamente come SPAM.

Cosa dire invece dei messaggi che contengono allegati?

Controlla l’indirizzo del mittente

Molti candidati non sanno che è possibile scrivere qualunque cosa all’interno del corpo del messaggio ma è molto più problematico inviare una mail con lo stesso indirizzo email del mittente originale. Probabilmente dunque se si riceverà una mail da un finto Facebook, l’indirizzo email del mittente non sarà support@facebook.com, ma qualcosa come support@facebok.com (notare un’unica ‘o’ nell’indirizzo falso).

Tanto per fare una piccola parentesi è esattamente con questa modalità che gli Hacker rubano i dati di accesso agli account Social degli utenti… Inviano una mail con corpo in HTML identica alle mail inviate da Facebook per esempio, richiedendo di collegarsi al proprio account. Il punto è che cliccando sul link non si finisce su Facebook ma su un sito esattamente uguale a Facebook ma con un nome dominio diverso anche se simile (vedi l’esempio di Facebok), dove inserendo i dati e provando ad accedere continuerà a dare errore: in realtà i dati sono già stati memorizzati dall’hacker al primo tentativo, continuando ad inserire altre password per paura di non ricordarle, verranno memorizzate anche queste. L’Hacker utilizzerà questi dati per effettuare l’accesso al Social e sostituire la tua password con una sua password. Sarebbe bene non mettere mai le stesse password che si utilizzano per i Social Network anche per conti online, PayPal e piattaforme di pagamento online, perché il primo passaggio fatto con questi dati è vedere se gli stessi danno accesso ai portali di pagamento online… Quindi attenzione per i sistemi di pagamento online utilizza sempre delle password che non metteresti mai per la registrazione ai Social Network!

Controlla il corpo del messaggio

Molto spesso all’interno del corpo del messaggio di una mail contenente Malware, ci sono una serie di simboli strani, errori ortografici e in alcuni casi addirittura frasi senza senso compiuto. Questo deve farti insospettire. È molto difficile che una persona che scrive e parla la tua stessa lingua possa scrivere quella sequela infinita di frasi insensate.

Estensione del file allegato

Nonostante gli hacker più rifiniti riescano a camuffare gli eseguibili con estensioni .doc e .pdf, ci sono dei casi in cui l’estensione del file allegato è uno zip che contiene un eseguibile. I file eseguibili non devono MAI essere aperti in nessun caso.

Usare un buon antivirus

In fine, se il PC non ne è già dotato, sarebbe il caso di richiedere l‘installazione sotto licenza di un buon antivirus al fine di identificare e bloccare immediatamente la minaccia prima che questa possa creare dei danni ai dati condivisi sulla rete.

Che tipo di danno può fare un Malware?

Malware

Ci sono molti tipi di Malware che possono attaccare un singolo computer oppure insediarsi all’interno dei server dei data-center o trasmettersi ad altri computer nella rete. Uno classe di Malware molto pericolosa è il Ransomware. Questa categoria di Malware cripta i dati con una chiave a 256bit e un algoritmo conosciuto solo gli Hacker che l’hanno sviluppato. Di norma viene richiesto un riscatto per poter entrare in possesso della chiave di decriptaggio e ripristinare la lettura in chiaro dei dati.

Naturalmente il danno che può provocare su un PC utilizzato da un utente a casa per navigare su internet e vedere film su Netflix è molto relativo. Può invece diventare una catastrofe totale se il Virus si diffonde all’interno di una rete aziendale che contiene tutti i documenti come  fatture, contratti con altre aziende, contratti di dipendenti, buste paga, ecc.

Come fa l’imprenditore a prevenire questi danni?

L’unico metodo efficace è l’utilizzo di Antivirus su tutti i computer e una buona formazione del personale.

Se hai necessità di una consulenza e della formazione del tuo personale al corretto utilizzo del PC al fine di diminuire il rischio di attacchi contattaci!

[starbox] 

L'articolo No formazione? No sicurezza! proviene da RENOR & Partners S.r.l..