Passkey + intelligence dei dispositivi: difesa a più livelli contro il furto di account
Le passkey chiudono la superficie del furto di credenziali ma lasciano esposti recupero account, registrazione e session hijacking. L'intelligence dei dispositivi copre le lacune che le passkey non colmano, per una difesa ATO a più livelli.
Le passkey sono il miglioramento più significativo dell'autenticazione consumer da un decennio, e il modo in cui il settore le inquadra è sottilmente fuorviante. L'inquadramento è che le passkey «risolvano» il furto di account. Non lo risolvono — ne eliminano una classe, la più grande e la più automatizzabile, e così facendo spingono gli attaccanti verso le parti del ciclo di vita dell'account che le passkey strutturalmente non possono proteggere.
Questo articolo è rivolto agli architetti della sicurezza e ai team di sicurezza di prodotto che stanno distribuendo le passkey e vogliono una mappa lucida di cosa le passkey coprono, cosa lasciano esposto e dove si inserisce un livello di intelligence dei dispositivi. La tesi: passkey e intelligence dei dispositivi sono complementari. Le passkey rinforzano l'autenticazione; l'intelligence dei dispositivi mette in sicurezza tutto ciò che le sta intorno.
Cosa risolvono davvero le passkey
Le passkey risolvono il furto di credenziali rimuovendo del tutto il segreto condiviso. Non c'è nessuna password da carpire con il phishing, nessuna password da riutilizzare tra i siti, nessuna password che giace in un dump di violazioni in attesa di essere sfruttata. Questo chiude, in un'unica mossa, la più grande superficie di attacco del furto di account.
Meccanicamente, una passkey è una coppia di chiavi pubblica-privata creata per ciascun sito usando gli standard WebAuthn e FIDO2. La chiave privata non lascia mai il dispositivo dell'utente (o il suo provider di credenziali sincronizzate); il sito memorizza solo la chiave pubblica. L'autenticazione è una sfida-risposta crittografica: il sito invia una sfida, il dispositivo la firma con la chiave privata, il sito verifica con la chiave pubblica. Niente di riutilizzabile attraversa la rete.
Ne derivano due proprietà, e sono quelle che contano per l'ATO:
Resistenza al phishing. La passkey è vincolata crittograficamente all'origin del sito. Un utente che approda su un dominio di phishing sosia non può presentare lì la propria passkey — il browser non la offrirà, perché l'origin non corrisponde. Questo sconfigge l'intera categoria dei proxy di phishing in tempo reale (attacchi in stile Evilginx) che rendono inutile la MFA basata su codici monouso. La credenziale semplicemente non può essere inoltrata alla destinazione sbagliata.
Nessun segreto condiviso da rubare in blocco. Non c'è alcun database di password con hash da esfiltrare, nessun elenco di credenziali da comprare, nessun materiale per il credential stuffing (riempimento automatizzato di credenziali rubate). L'economia degli attacchi automatizzati alle password dipende dal fatto che le credenziali rubate siano a buon mercato e riutilizzabili; le passkey le rendono inesistenti.
Per i flussi che una passkey governa davvero — un utente che accede su un dispositivo che detiene già la sua passkey — questo è quasi a tenuta stagna. Se l'intera sua base utenti si autenticasse esclusivamente con passkey su dispositivi che già possiede, il classico copione dell'ATO sarebbe morto.
Non è il mondo in cui opera alcun servizio reale.
La superficie di attacco che le passkey non coprono
Le passkey mettono in sicurezza l'evento di autenticazione. Il furto di account non si limita all'evento di autenticazione — prende di mira l'intero ciclo di vita dell'account, e gran parte di quel ciclo di vita si colloca al di fuori di ciò che una passkey governa. Contano quattro lacune.
Recupero dell'account. Questa è la principale. Ogni servizio ha bisogno di un modo perché un utente che ha perso il proprio dispositivo possa rientrare. Quel percorso di recupero — link via email, codice SMS, domande di sicurezza, codici di backup, verifica dell'help desk — è per definizione un modo di autenticarsi senza la passkey. Un attaccante che non riesce a sconfiggere la passkey attacca invece il flusso di recupero, e i flussi di recupero sono tipicamente assai più deboli dell'autenticazione primaria che aggirano. Un deployment di passkey con un fallback «reset via codice SMS» ha una porta di servizio soggetta a phishing e SIM-swap, per quanto forte sia la porta d'ingresso.
Registrazione del dispositivo. Aggiungere una nuova passkey a un account è un'azione di modifica dell'account, e se un attaccante riesce a registrare la passkey del proprio dispositivo, ottiene un accesso legittimo permanente. La registrazione è di solito subordinata a una sessione autenticata esistente — il che significa che eredita le debolezze di qualsiasi cosa abbia stabilito quella sessione, incluso il flusso di recupero di cui sopra. Registrare-una-nuova-passkey è l'equivalente moderno di «aggiungere una regola di inoltro»: silenzioso, persistente e facile da non notare.
Session hijacking. Le passkey autenticano; non riautenticano di continuo. Una volta che un utente ha effettuato l'accesso, il token di sessione risultante è una credenziale al portatore come qualsiasi altra. Lo rubi — tramite malware, un'estensione malevola, un dispositivo compromesso o un attacco di esfiltrazione del token — e ha la sessione autenticata senza mai toccare la passkey. La forza del login non dice nulla sulla sicurezza dell'ora che segue.
La lunga coda dei non registrati. L'adozione delle passkey è reale ma parziale. Una frazione significativa di qualsiasi base utenti consumer non avrà una passkey: dispositivi più datati, macchine condivise o aziendali, utenti che hanno ignorato il prompt, utenti che non lo comprendono. Ognuno di quegli account ha ancora un percorso basato su password o su codice, e gli attaccanti si concentrano esattamente su quel percorso. Un servizio è protetto solo quanto il suo metodo di autenticazione disponibile più debole, e per la coda dei non registrati quel metodo è quello vecchio.
Lo schema comune a tutte e quattro: l'autenticazione forte non rimuove l'incentivo a impadronirsi degli account, ricolloca l'attacco. È la lezione costante del panorama ATO del 2026 — man mano che ogni vettore si rinforza, gli attaccanti confluiscono verso il successivo più debole. Le passkey spostano la battaglia dal modulo di login al flusso di recupero, al passaggio di registrazione e alla sessione post-login.
Perché l'intelligence dei dispositivi copre le lacune
L'intelligence dei dispositivi copre le lacune delle passkey perché opera su un asse diverso: le passkey chiedono «questo utente detiene la chiave giusta?», l'intelligence dei dispositivi chiede «questo è il dispositivo e il contesto che ci aspettiamo per questo account, a ogni azione?». La seconda domanda ha risposta anche quando non c'è alcuna passkey in gioco — che è esattamente la situazione nel recupero, nella registrazione e nella coda dei non registrati.
Il meccanismo è un'identità del dispositivo persistente: un identificatore stabile costruito da segnali di browser, hardware, rete e comportamentali che riconosce un dispositivo che ritorna attraverso le sessioni senza affidarsi a una credenziale memorizzata. (Come questo identificatore sia costruito e perché sopravviva alla cancellazione dei cookie è trattato in come funziona il fingerprinting del dispositivo.) Con quell'identità collegata alla cronologia di un account, ciascuna delle quattro lacune ottiene un controllo che le passkey non possono fornire.
Recupero vincolato a dispositivi noti. Quando arriva un tentativo di recupero, l'intelligence dei dispositivi risponde a una domanda che altrimenti il flusso di recupero non può porre: questo recupero viene avviato da un dispositivo che questo account ha mai usato? Un recupero da un dispositivo del tutto nuovo, in un nuovo Paese, su un IP di data center è categoricamente più rischioso di un recupero dal solito laptop dell'utente. Quel segnale consente di articolare il flusso di recupero — verifica leggera da un dispositivo noto, verifica pesante (o un blocco) da uno sconosciuto — anziché applicare a tutti lo stesso debole controllo via SMS.
Registrazione subordinata alla fiducia nel dispositivo. Una richiesta di registrare una nuova passkey può essere valutata rispetto alla cronologia del dispositivo. Registrare una passkey dal dispositivo consolidato dell'utente è previsto. Registrarne una da un dispositivo comparso pochi minuti fa, subito dopo un evento di recupero, da una rete sospetta, è la firma di un account in fase di sequestro. L'intelligence dei dispositivi rende leggibile quella richiesta di registrazione anziché invisibile.
Valutazione continua della sessione dopo il login. Poiché l'identità del dispositivo è valutata a ogni richiesta, non solo al login, una sessione che inizia su un dispositivo e prosegue su un altro — il fingerprint di un token rubato riprodotto altrove — è rilevabile. Il contesto di dispositivo o di rete che, a metà sessione, si allontana dal dispositivo autenticato è un segnale di hijack che nessuna forza di autenticazione alla porta d'ingresso può cogliere. È il principio della verifica del dispositivo zero-trust: la fiducia è valutata di continuo, non concessa una volta sola alla porta.
Copertura per i non registrati. Per gli utenti che non hanno mai adottato una passkey, l'intelligence dei dispositivi è il livello che svolge il lavoro — riconoscendo il loro dispositivo noto e lasciando passare i login legittimi con poco attrito, mentre segnala i tentativi di credential stuffing e da dispositivo sconosciuto che prendono di mira esattamente questa popolazione. Gli utenti più esposti dall'adozione parziale delle passkey sono quelli che l'intelligence dei dispositivi protegge in modo più diretto.
Il filo conduttore: le passkey dimostrano il possesso della chiave in un momento; l'intelligence dei dispositivi stabilisce il contesto di dispositivo e comportamentale in ogni momento. Le lacune della prima sono precisamente il dominio della seconda.
Come i due livelli si combinano nella pratica
In un deployment a più livelli, passkey e intelligence dei dispositivi funzionano in parallelo, ciascuna autorevole per le decisioni a cui è adatta, alimentando un unico quadro di rischio.
Al login, una passkey, ove presente, è il forte fattore primario — resistente al phishing, senza segreto condiviso. L'intelligence dei dispositivi funziona al suo fianco, confermando silenziosamente che il dispositivo è noto e il contesto è normale. Per un login con passkey da un dispositivo riconosciuto, questo è invisibile: l'utente accede, nulla lo interpella. Il segnale del dispositivo viene consultato solo quando è in disaccordo con l'aspettativa.
A recupero e registrazione, dove non viene presentata alcuna passkey (è tutto il senso di questi flussi), l'intelligence dei dispositivi diventa l'input di rischio primario. Il verdetto degli smart signals — dispositivo noto, reputazione della rete, coerenza comportamentale — determina se il flusso proceda in modo leggero, escali a una verifica più forte o si fermi per una revisione. È qui che la vera porta di servizio del deployment di passkey ottiene una serratura.
Dopo il login, l'intelligence dei dispositivi fornisce una valutazione continua. Il compito della passkey si è concluso all'autenticazione; il livello del dispositivo sorveglia la sessione per i cambi di contesto che indicano il furto del token, e può forzare la riautenticazione quando il segnale del dispositivo si interrompe a metà sessione.
Per i non registrati, l'intelligence dei dispositivi si fa carico del compito primario anche al login, distinguendo il dispositivo noto che ritorna dal tentativo di credential stuffing, finché (e se) l'utente adotta una passkey.
La divisione del lavoro è netta perché i due meccanismi rispondono a domande genuinamente diverse e falliscono in modi genuinamente diversi. Una passkey non può dirLe se il dispositivo che richiede un reset della password sia affidabile; l'intelligence dei dispositivi non può fornire una prova crittografica resistente al phishing del possesso della chiave. Distribuire l'una senza l'altra lascia un buco prevedibile — le sole passkey lasciano morbidi i flussi di recupero e di sessione; la sola intelligence dei dispositivi manca della forza di autenticazione crittografica alla porta d'ingresso.
L'inquadramento onesto per un rollout di passkey
Se sta distribuendo le passkey, il messaggio interno corretto non è «abbiamo risolto il furto di account». È «abbiamo eliminato il furto di credenziali come vettore di attacco, e ora dobbiamo rinforzare i flussi verso cui gli attaccanti si sposteranno». Quei flussi — recupero, registrazione, sessione e la coda dei non registrati — sono dove si concentrerà il prossimo ciclo di tentativi di ATO, proprio perché la porta d'ingresso è diventata forte. Un rollout di passkey che non rinforza al contempo il recupero sta spostando la serratura dalla porta alla finestra lasciando però la finestra aperta.
Quel rinforzo è ciò che fornisce un livello di intelligence dei dispositivi, ed è la ragione per cui le posture ATO più solide accoppiano le due. Le passkey rendono l'evento di autenticazione quasi imbattibile. L'intelligence dei dispositivi rende il resto del ciclo di vita dell'account — le parti verso cui un attaccante si rivolge proprio perché l'evento di autenticazione è diventato imbattibile — osservabile e valutabile.
Tracio fornisce la metà di quell'accoppiamento relativa all'intelligence dei dispositivi: un'identità del dispositivo persistente che sopravvive alla cancellazione dei cookie e alle sessioni nuove, segnali di rischio di rete e comportamentali, e un verdetto restituito in meno di 50ms che si innesta in recupero, registrazione e controlli continui di sessione. Funziona in silenzio dietro i login con passkey da dispositivi noti e si fa avanti esattamente dove le passkey non possono arrivare.
Vuole vedere come l'intelligence dei dispositivi copre i flussi che il suo deployment di passkey lascia aperti?
Inizi la prova gratuita — 2.500 verifiche gratuite, senza carta di credito. Prenoti una demo per mappare l'intelligence dei dispositivi rispetto alla sua architettura di autenticazione, recupero e sessione.