passkey

Adozione delle passkey aziendali: sfumature e sfide

Esamineremo quali sistemi aziendali supportano le passkey, dove la compatibilità non è all’altezza e perché probabilmente non rinunceremo alle password a breve.

Stan Kaminsky
25 Ago 2025

Il passaggio alle passkey promette alle organizzazioni un percorso conveniente verso un’autenticazione dei dipendenti affidabile, una maggiore produttività e la conformità alle normative. Tutti i pro e i contro di questa soluzione aziendale sono già stati illustrati in un articolo approfondito separato. Tuttavia, il successo della transizione, e persino la sua fattibilità, dipende in realtà dai dettagli tecnici e dalle specifiche di implementazione in numerosi sistemi aziendali.

Supporto delle passkey nei sistemi di gestione delle identità

Prima di affrontare gli ostacoli organizzativi e redigere i criteri, sarà necessario determinare se i sistemi IT principali sono pronti per il passaggio alle passkey.

Microsoft Entra ID (Azure AD) supporta completamente le passkey, consentendo agli amministratori di impostarle come metodo di accesso principale. Per le distribuzioni ibride con risorse locali, Entra ID può generare ticket Kerberos (TGT), che il controller di dominio Active Directory può quindi elaborare.

Tuttavia, Microsoft non supporta ancora le passkey native per gli accessi RDP, VDI o solo locali con Active Directory. Detto questo, con alcune soluzioni alternative, le organizzazioni possono archiviare le passkey in un token hardware come YubiKey. Questo tipo di token può supportare contemporaneamente sia la tradizionale tecnologia PIV (smart card) che FIDO2 (passkey). Esistono anche soluzioni di terzi per questi scenari, ma sarà necessario valutare l’impatto del loro utilizzo sul livello generale di sicurezza e sulla conformità alle normative.

Buone notizie per gli utenti di Google Workspace e Google Cloud: supportano completamente le passkey.

I più diffusi sistemi di gestione delle identità come Okta, Ping, Cisco Duo e RSA IDplus supportano anche FIDO2 e tutte le principali forme di passkey.

Supporto delle passkey nei dispositivi client

Abbiamo un post dettagliato sull’argomento. Tutti i moderni sistemi operativi di Google, Apple e Microsoft supportano le passkey. Tuttavia, se la tua azienda utilizza Linux, probabilmente saranno necessari strumenti aggiuntivi e il supporto generale è ancora limitato.

Inoltre, sebbene per tutti i principali sistemi operativi possa sembrare a prima vista un supporto completo, c’è molta varietà nel modo in cui vengono archiviate le passkey e ciò può causare problemi di compatibilità. Le combinazioni di diversi sistemi come computer Windows e smartphone Android sono le più problematiche. Puoi creare una passkey in un dispositivo e quindi scoprire di non potervi accedere in un altro. Per le aziende con un parco dispositivi a gestione rigorosa, esistono due modi per affrontare questo problema. È ad esempio possibile fare in modo che i dipendenti generino una passkey separata per ogni dispositivo aziendale che utilizzano. Questo comporta un po’ più di configurazione iniziale: i dipendenti dovranno eseguire lo stesso processo di creazione di una passkey in ogni dispositivo. Tuttavia, una volta eseguita questa operazione, l’accesso richiede un tempo minimo. Inoltre, in caso di smarrimento di un dispositivo, l’accesso ai dati di lavoro non verrà bloccato completamente.

Un’altra opzione consiste nell’utilizzare un gestore di password approvato dall’azienda per archiviare e sincronizzare le passkey nei dispositivi di tutti i dipendenti. Questo è anche un must per le aziende che utilizzano computer Linux, poiché questo sistema operativo non può archiviare le passkey. Un avvertimento: questo approccio potrebbe aggiungere una certa complessità quando si tratta di audit di conformità alle normative.

Per una soluzione con sincronizzazione impeccabile e compatibilità multipiattaforma quasi totale, le passkey hardware come YubiKey sono l’ideale. Il problema è che possono essere significativamente più costose da distribuire e gestire.

Supporto delle passkey nelle applicazioni aziendali

Lo scenario ideale per importare le passkey nelle app aziendali è fare in modo che tutte le applicazioni accedano tramite Single Sign-On (SSO). In questo modo, è sufficiente implementare il supporto delle passkey nella soluzione SSO aziendale, ad esempio Entra ID oppure Okta. Tuttavia, se alcune applicazioni aziendali critiche non supportano SSO o se tale supporto non fa parte del contratto (cosa che, purtroppo, accade), sarà necessario emettere singole passkey affinché gli utenti accedano a ciascuna sistema. I token hardware possono archiviare ovunque da 25 a 100 passkey, quindi il principale costo aggiuntivo in questo caso sarebbe il lato amministrativo.

I sistemi aziendali più diffusi che supportano completamente le passkey includono Adobe Creative Cloud, AWS, GitHub, Google Workspace, HubSpot, Office 365, Salesforce e Zoho. Alcuni sistemi SAP supportano anche le passkey.

Prontezza dei dipendenti

Implementare le passkey significa tenere il team aggiornato indipendentemente dallo scenario. Non vuoi che riscontrino problemi nel tentativo di capire come usare nuove interfacce. L’obiettivo è che tutti si sentano sicuri nell’utilizzo delle passkey in ogni singolo dispositivo. Questi sono i punti fondamentali che i dipendenti dovranno capire.

Perché le passkey battono le password (sono molto più sicure, più veloci da utilizzare per l’accesso e non è necessario ruotarle)
Funzionamento dei dati biometrici con le passkey (i dati biometrici non lasciano mai il dispositivo e non vengono archiviati o elaborati dal datore di lavoro)
Come ottenere la prima passkey (ad esempio Microsoft dispone di una funzionalità Pass di accesso temporaneo e i sistemi IAM di terzi spesso inviano un link di onboarding; tuttavia, il processo deve essere documentato in modo approfondito)
Cosa fare se il dispositivo non riconosce le passkey
Cosa fare in caso di smarrimento di un dispositivo (accedere da un altro dispositivo con la propria passkey o utilizzare una OTP, magari fornita in una busta sigillata proprio per queste emergenze)
Come accedere ai sistemi di lavoro da altri computer (se i criteri aziendali lo consentono)
Descrizione dell’aspetto di un tentativo di phishing correlato alle passkey

Le passkey non sono la soluzione a tutti i mali

Il passaggio alle passkey non significa che il team di sicurezza informatica possa semplicemente eliminare le minacce alle identità dall’elenco dei rischi. Certo, rende le cose più difficili per gli aggressori, ma possono comunque procedere come segue:

Attaccare sistemi che non sono passati alle passkey
Puntare i sistemi che dispongono ancora di metodi di accesso di riserva come password e OTP
Sottrarre i token di autenticazione dai dispositivi infettati da infostealer
Utilizzare tecniche speciali per aggirare le protezioni delle passkey

Sebbene sia impossibile eseguire il phishing delle passkey stesse, gli aggressori possono configurare un’infrastruttura Web fasulla per indurre una vittima ad autenticare e convalidare una sessione dannosa su un servizio aziendale.

Un recente esempio di questo tipo di attacco AiTM è stato documentato negli Stati Uniti. In questo caso, la vittima è stata spinta a visitare una pagina di autenticazione fasulla per un servizio aziendale, in cui gli aggressori hanno prima eseguito il phishing del suo nome utente e della sua password, spingendolo a confermare la sessione facendogli eseguire la scansione un codice QR. In questo incidente, i criteri di sicurezza erano stati configurati correttamente, quindi la scansione di questo codice QR non ha portato a una corretta autenticazione. Ma poiché è stato implementato un tale meccanismo con passkey, gli aggressori speravano che da qualche parte fosse configurato in modo errato e che la vicinanza fisica del dispositivo in cui veniva eseguita l’autenticazione e del dispositivo in cui era archiviata la chiave non venisse verificata.

In definitiva, il passaggio alle passkey richiede una configurazione dettagliata dei criteri. Sono inclusi sia i criteri di autenticazione (ad esempio la disattivazione delle password quando una passkey è disponibile o il divieto di utilizzo di token fisici di fornitori sconosciuti) sia i criteri di monitoraggio (ad esempio la registrazione delle passkey di accesso o gli scenari tra dispositivi da posizioni sospette).

In che modo gli utenti perdono soldi a causa degli annunci deepfake su Instagram

In che modo i social network di Meta sono diventati una piattaforma per truffe sugli investimenti

Video deepfake, account Instagram e Facebook fraudolenti, chat private su WhatsApp: in che modo le piattaforme social di Mark Zuckerberg sono diventate uno strumento primario per le truffe finanziarie.

Privacy e bambini

Adozione delle passkey aziendali: sfumature e sfide

Supporto delle passkey nei sistemi di gestione delle identità

Supporto delle passkey nei dispositivi client

Supporto delle passkey nelle applicazioni aziendali

Prontezza dei dipendenti

Le passkey non sono la soluzione a tutti i mali

Le passkey sono adatte per le aziende?

Da CVSS a RBVM: assegnazione delle priorità alle vulnerabilità eseguita correttamente

In che modo i social network di Meta sono diventati una piattaforma per truffe sugli investimenti

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia