Behind that gesture—imperceptible yet revolutionary—there is a passkey: a pair of cryptographic keys, securely stored on your device, that permanently retires the use of passwords.

Why the year of passkeys?

This is far from just a catchy headline. As of May 2025, 90.93% of devices globally are capable of passkey-based authentication. 74% of consumers with a passkey-ready device are aware of this technology. Of these, 69% have already enabled it, and 50% of the world’s top 100 websites have integrated it into their systems.

We can therefore confidently state that 2024 was the pilot year, while 2025 is the year of mass adoption, with figures now surpassing those of any previous login technology.

How does the passkey work?

I’ll explain it to you in three key concepts:

1. Key pair – One public key that is stored on the server, and one private key that never leaves your device.
2. FIDO2 and WebAuthn – These are two open standards, already supported by all modern browsers.
3. Biometrics as unlock, not as credentials – It’s your face that unlocks the private key, without that key ever “travelling around” the network.

Key pair – The double-lock mechanism

We mentioned that one of the key elements of the passkey system is a key pair (public and private).

The public key is like the address of your mailbox: anyone can know it and use it to “drop in” a letter. This key is saved in the service’s database when you register.

The private key is the key that physically opens the mailbox, and it always stays in your pocket (in the phone’s chip or your browser). It never leaves your pocket/device.

How does the login work?

The server sends a random challenge, the device signs the challenge with the private key. The server then verifies the signature using the public key it already has.

If the signature is valid, you’re authenticated—without any password ever crossing the network.

Why is this a more secure system?

Because a hacker who gains access to the database can only obtain public keys, which are useless without the corresponding private key.

FIDO2 + WebAuthn: the standard that bridges hardware and the web

To understand why passkeys work everywhere without the user needing to install anything, it’s enough to see how FIDO2 has united two worlds that previously didn’t communicate: the Web and the world of security hardware.

Imagine a charter of laws that establishes general rules. The core principles are passwordless authentication, anti-phishing protection, and interoperability across devices. Under these laws, two components coexist:

WebAuthn

It’s an official W3C JavaScript API already built into Chrome, Safari, Firefox, Edge, and other minor browsers. From the developer’s point of view, it’s the only interface needed, called:
WebAuthn

navigator.credentials.create()


to register the passkey and

navigator.credentials.get()


to use it.

Everything else—key pair generation, Face ID/Touch ID display and usage, signing the challenge—happens behind the scenes.

CTAP2

Once the browser receives the request via WebAuthn, it needs to communicate with the hardware that holds the private key: this could be the Secure Enclave chip on an iPhone, the TPM on a Windows laptop, a YubiKey USB-C, or an NFC security key.
The language used for this communication is CTAP2 (Client To Authenticator Protocol 2), defined by the FIDO Alliance.
This way, the authenticator is free to evolve—today it might be a fingerprint, tomorrow it could be a retinal scan—without requiring websites to change their code.

Why is this dual layer important?

Because it ensures that the same backend integrating WebAuthn will seamlessly communicate with either an Android phone or a hardware key, since the CTAP2 layer is abstracted.
It’s important because it provides anti-phishing security: the private key is bound to the domain for which it was created; if a fake site tries to deceive the browser, CTAP2 refuses to sign the challenge.
It also enables graceful compatibility—if a device doesn’t natively support a compatible authenticator, the browser can fall back to traditional authentication methods (e.g., password and OTP) without breaking the user experience.

In essence, FIDO2 is the bridge, WebAuthn is the developer’s lane, and CTAP2 is the expressway reserved for security chips. Thanks to this layered architecture, we can enable passkeys with just a few lines of code and be confident that they will continue to work as new devices emerge that may implement other forms of biometrics.

Where are we already using Passkey technology?

Since iOS 18, Apple has integrated the “Passwords” app, which centralizes both passwords and passkeys; Touch ID or Face ID are used to unlock them.

With Windows Hello on Windows 11, you can create and use passkeys on Edge, Chrome, and Firefox without installing anything.

In Android 15, the Credential Manager API enables “single-tap sign-in” across passkeys, Google Sign-In, and traditional passwords.

For the user, it’s the phone that logs in on its own; for the security team, it’s a farewell to phishing.

Advantages only for security?

The advantages aren’t limited to security—they also include speed. Google has measured login times cut in half compared to entering a username and password. Moreover, there’s no need to remember any password, since passkeys are password-free.

[starbox]

L'articolo Goodbye passwords? 2025 is the year of passkeys. proviene da RENOR & Partners S.r.l..

Può essere un’esperienza da incubo perché l’accoppiata user/password potrebbe essere utilizzata anche per sistemi di pagamento online come PayPal o come password del conto corrente bancario. Insomma, la sicurezza informatica è una cosa SERIA e come tale dev’essere trattata.

In questo altro articolo avevamo parlato dell’importanza della formazione. Essere formati permette di saper riconoscere questo genere di raggiri e tutelare i nostri dati ma anche i nostri conti economici.

Ma andiamo adesso a vedere quali sono le tecniche più utilizzate per rubare le utenze.

Phishing

Il Phishing è un metodo geniale per rubare dati di accesso ed ho voluto menzionarlo di proposito per primo perché è anche il metodo più utilizzato dai Lamer.

Consiste nel creare una pagina web perfettamente identica alla pagina del sito o social di riferimento. Compilando la form di accesso, i nostri dati finiscono nelle mani dei Lamer.

Poniamo ad esempio che siate iscritti su Facebook.
Il sistema per fare Phishing è totalmente automatico:

• Ricevete una finta mail da Facebook che vi induce a fare l’accesso cliccando su un link presente sulla mail
• Cliccando, il link non punta al dominio facebook.com ma ad un altro dominio, ad esempio fakebook.com
• Vi trovate in una pagina di accesso esattamente identica a quella di facebook
• Non fate caso al dominio che nella maggior parte dei casi è in qualche modo simile all’originale
• Compilate i vostri dati nella form e confermate l’accesso
• L’accesso non va a buon fine perché dietro a quella pagina di accesso non c’è nulla e vi viene chiesto di riprovare più tardi
• Dopo un paio di tentativi abbandonate e tutte le password che avete provato ad inserire vengono salvate all’interno di un database
• Il lamer viene notificato della ricezione dei dati di accesso di una nuova vittima e li utilizza per accedere al vostro account e fare il suo comodo
• In alcuni casi lo stesso prova ad utilizzare quella combinazione username e password per accedere ad altre informazioni: ad esempio sulla posta eletttronica, conto corrente postale, ecc. ecc.

Come proteggersi dal Phishing

Per proteggersi da questo genere di attacchi ci sono una serie di controlli da effettuare.

1. All’arrivo di una mail che richiede la connessione ad un portale in cui siete iscritti la prima cosa da fare è verificare l’indirizzo email del mittente (anche se questo può essere facilmente contraffatto). Se già l’indirizzo email del mittente presenta degli elementi strani possiamo serenamente soprassedere. Es. support@fakebook.com
2. Questa è una norma generale… Mentre è facile camuffare un indirizzo email, è IMPOSSIBILE camuffare un dominio. Pertanto ogni volta che vi trovate nel vostro browser ad inserire i vostri dati di accesso verificate l’attendibilità del nome del dominio. Se siete sul dominio fakebook.com chiudete immediatamente la pagina, se siete sul dominio facebook.com potrete procedere con tranquillità.
3. È sempre bene installare un software antivirus e tenerlo aggiornato. Molti di questi messaggi vengono segnalati e un buon antivirus può identificare posta malevola ed eliminarla.

Keylogger

Questa è una metodologia di furto di dati che può essere attuata o previo l’installazione di software sulla macchina, o attraverso l’utilizzo di particolari strumenti hardware inseriti tra il connettore della tastiera e quello della scheda madre.

Un keylogger è più genericamente uno strumento che permette di registrare tutto ciò che viene digitato su una tastiera. Nel caso di KeyLogger software, questi realizzano dei file contenenti tutto il testo digitato e lo inviano sistematicamente per email al Lamer. Per i keylogger hardware è invece necessario raggiungere fisicamente il computer per effettuare il suo inserimento in serie alla tastiera e allo stesso modo rimuoverlo.

I Keylogger non vengono utilizzati unicamente con lo scopo di rubare dati di accesso, ma per rubare informazioni in generale. Come già detto, quello che fanno è copiare su un file tutto ciò che viene digitato sulla tastiera.

Come proteggersi dai Keylogger

Per i keylogger software non c’è altro modo che installare e tenere aggiornato un buon antivirus.

Per i keylogger hardware la strada è quella di verificare che dietro al nostro computer tra la spina della tastiera ed il connetture USB o PS/2 del PC non ci sia nulla di mezzo. Spesso dentro un semplice adattatore potrebbe nascondersi un keylogger.

Ricordati di fare il logout

Il personal computer si chiama così proprio perché è personale. Molte persone accedono ad account personali dall’ufficio su computer che possono essere utilizzati da tutti alla ricerca di informazioni e dimenticano di fare il logout. Anche questo può esporre a rischio. Pertanto ogni volta che devi collegarti da un computer che non sia il tuo personale ricordati sempre di effettuare il logout e di non salvare mail la password nel browser.

I Trojan

Chi non conosce la storia del cavallo di Troia dell’Eneide? Il gigantesco Cavallo che i greci inviarono in dono alla regina Didone pieno dei più valorosi guerrieri di Agamennone guidati da Ulisse in persona…

Questo genere di virus prendono come esempio proprio la storia del cavallo di Troia. Si insinuano all’interno del nostro computer e cominciano a fare danni. Il tutto avviene in background. L’utente non si accorge di nulla, si accorge della presenza del Trojan solamente quando è troppo tardi e i danni sono stati già fatti.

È possibile prendere Trojan attraverso allegati della posta elettronica ma anche attraverso la rete lasciando delle porte aperte.

Come proteggersi dai Trojan

Si raccomanda l’uso di un Firewall e di un buon antivirus. Come sempre si ricorda che l’uso dell’antivirus potrebbe non essere sufficiente se questo non viene costantemente aggiornato al fine di poter riconoscere minacce di nuovi virus.

Esisterebbero anche altri metodi, ma i più utilizzati sono quelli che abbiamo menzionato.
Ora che conoscete il nemico e sapete come difendersi potrete sicuramente navigare con più sicurezza e tranquillità.

[starbox] 

L'articolo How they steal your social login information proviene da RENOR & Partners S.r.l..

It is necessary to pay the utmost attention!

Interviews should not only be asked if they can use Excel

What to ask at the job interview as computer skills

Personally, I was in charge of recruiting only IT-related personnel concerning Web application development. Of course, interesting resumes or people with a solid foundation, not overly skilled but with a great desire to learn, were contacted. In other areas, such as administration, marketing, etc., the recruiting of figures and the subsequent cognitive interview was left to the Personnel Selection Department.

Very often, recruiters, unless they have already worked as recruiters within IT companies, are not sufficiently knowledgeable about the requirements a candidate should have regarding the minimum knowledge about the use of the IT tools they will have to work with.

Very often he is asked if he has already used excel and e-mail without elaborating, on the latter, what his knowledge is limited to; because it should be emphasized that knowing how to open an e-mail message and reply, perhaps using other e-mail addresses in copy and hidden copy, is not sufficiently comprehensive for the purpose of defending the data within corporate data centers.

One question that should definitely be asked is, “before opening an attachment, do you verify that the sender’s email address is trustworthy?”

How to recognize messages containing malware?

If the message contains no attachments and no links it is probably just SPAM, i.e., email advertising practices not authorized by the direct recipient of the message. Many e-mail servers recognize these messages and automatically “flag” them as SPAM.

What about messages that contain attachments instead?

Check the sender’s address

Many candidates do not know that it is possible to write anything within the message body, but it is much more problematic to send an email with the same email address as the original sender. So probably if you receive an email from a fake Facebook, the sender’s email address will not be support@facebook.com, but something like support@facebok.com (note a single “o” in the fake address).

Just as a quick aside, it is exactly in this way that Hackers steal users’ Social account login data…. They send an email with HTML body identical to the emails sent by Facebook for example, requesting to log in to their account. The point is that clicking on the link does not end up on Facebook but on a site exactly the same as Facebook but with a different though similar domain name (see the Facebok example), where entering the data and trying to log in will continue to give an error: in reality the data has already been stored by the hacker on the first attempt, continuing to enter other passwords for fear of not remembering them will also be stored. The Hacker will use this data to log into Social and replace your password with one of his own. It would be good to never put the same passwords that you use for Social Networks also for online accounts, PayPal and online payment platforms, because the first step done with these data is to see if the same ones give access to online payment portals… So be careful for online payment systems always use passwords that you would never put for Social Network registration!

Check the body of the message

Very often within the message body of an email containing Malware, there are a number of strange symbols, misspellings, and in some cases even sentences that make no sense. This must make you suspicious. It is very difficult for a person who writes and speaks the same language as you to write that endless sequence of nonsensical sentences.

Extension of the attached file

Although the most polished hackers are able to disguise executables with .doc and .pdf extensions, there are cases where the file extension attached is a zipper containing an executable. Executable files should NEVER be opened under any circumstances.

Use a good antivirus

Finally, if the PC is not already equipped with one, it would be a good idea to request the licensed installation of a good antivirus in order to immediately identify and block the threat before it can create damage to the data shared on the network.

What kind of damage can Malware do?

Malware

There are many types of Malware that can attack a single computer or settle inside data-center servers or transmit to other computers in the network. One very dangerous class of Malware is Ransomware. This class of Malware encrypts data with a 256bit key and an algorithm known only to the Hackers who developed it. A ransom is usually demanded in order to get hold of the decryption key and restore unencrypted reading of the data.

Of course, the damage it can cause on a PC used by a user at home to surf the Internet and watch movies on Netflix is very relative. On the other hand, it can become a total catastrophe if the Virus spreads within a corporate network that contains all documents such as invoices, contracts with other companies, employee contracts, payroll, etc.

How does the entrepreneur prevent these harms?

The only effective method is the use of Antivirus on all computers and good staff training.

If you need counseling and training of your staff in proper PC use in order to decrease the risk of attacks contact us!

[starbox]

L'articolo No training? No security! proviene da RENOR & Partners S.r.l..