MFA resistente al phishing: ecco perché le passkey sono un passo avanti
L'autenticazione a più fattori è stata una vera svolta. E rimane una delle misure più efficaci per proteggere l'accesso ai sistemi e ai dati aziendali. Nessun cambiamento da questo punto di vista. Ciò che è cambiato, invece, è il modo in cui gli hacker riescono ad aggirarla.
Negli ultimi due anni, la tecnica nota come adversary-in-the-middle (AiTM) è diventata una delle principali minacce ai sistemi di autenticazione. Il meccanismo è più semplice di quanto sembri. Un dipendente riceve un'e-mail che sembra essere una notifica legittima di Microsoft 365. Clicca sul link e arriva su quella che sembra essere la vera pagina di accesso. Inserisce nome utente e password. Riceve la notifica push MFA sul proprio telefono e la approva. Sembra tutto normale. Ma tra il suo browser e Microsoft, c’è un proxy controllato da un hacker, che si appropria del cookie di sessione in tempo reale. Con quel cookie, l'aggressore potrà d’ora in poi accedere all'account come se fosse l'utente legittimo, senza dover eseguire nuovamente l'autenticazione.
Non si tratta di attacchi teorici o marginali. Tra il 2023 e l'inizio del 2025, il Canadian Centre for Cyber Security ha documentato oltre 100 campagne AiTM dirette contro gli account Microsoft Entra ID. Secondo i dati pubblicati da Cisco Talos, nel 2024 metà dei suoi interventi di risposta agli incidenti ha riguardato tecniche di bypass dell'MFA. Inoltre, ciò che una volta richiedeva competenze tecniche avanzate è ora disponibile per chiunque: piattaforme come EvilProxy e Tycoon 2FA offrono questi attacchi come servizio (Phishing-as-a-Service), con campagne rilevate da Proofpoint che hanno colpito migliaia di aziende nel solo aprile 2025.
Ciò non significa che l'MFA abbia smesso di funzionare, ma significa che non tutte le soluzioni MFA offrono lo stesso livello di protezione.
Cosa distingue l'MFA resistente al phishing
I metodi MFA più utilizzati (notifiche push, codici OTP, SMS) fanno il loro lavoro: aggiungono un livello di verifica che blocca la stragrande maggioranza degli attacchi basati sul furto di credenziali. Ma condividono un limite: si affidano all'utente che inserisce o approva qualcosa su un sito che potrebbe non essere legittimo. Se l'aggressore replica quel passaggio attraverso un proxy AiTM, l’autenticazione viene completata allo stesso modo.
L'MFA resistente al phishing sradica il problema alla base. Invece di trasmettere un codice o un'approvazione che potrebbero essere intercettati, utilizza la crittografia a chiave pubblica associata al dominio effettivo del servizio. L'autenticazione avviene direttamente tra il dispositivo dell'utente e il servizio legittimo. Se c'è un proxy in mezzo, la verifica crittografica fallisce e l'accesso viene negato.
Le passkey rappresentano il modo più accessibile per implementare questo modello. Basate sullo standard FIDO2/WebAuthn, funzionano con la biometria del dispositivo (Face ID, Touch ID, Windows Hello) o un PIN, e la chiave privata non lascia mai il dispositivo dell'utente. Non ci sono password da rubare né codici da intercettare e l'autenticazione è vincolata crittograficamente al dominio reale.
Il funzionamento combinato delle passkey e dell'MFA tradizionale
Chiariamo subito una cosa: le passkey non sostituiscono l'MFA tradizionale né la rendono superflua. Entrambe svolgono il prioprio ruolo in una strategia di sicurezza ben progettata.
L'MFA basata su notifiche push, OTP o app rimane efficace nella stragrande maggioranza degli scenari ed è di gran lunga superiore all'uso delle sole password. Per molte aziende, l'implementazione dell'autenticazione a più fattori su tutti i propri servizi rappresenta già un passo avanti significativo e dovrebbe costituire una priorità in caso non ne dispongano ancora.
Le passkey aggiungono un ulteriore livello per scenari a rischio più elevato: account con privilegi di amministratore, accesso remoto a sistemi critici e applicazioni cloud che gestiscono dati sensibili. L'obiettivo non è sostituire tutto in una volta, ma rafforzare la protezione dove conta maggiormente e partire da lì per ampliarla.
In pratica, un MSP può combinare senza difficoltà entrambi i metodi: l’MFA basata su push come metodo standard per l'accesso degli utenti generici e le passkey per gli account amministrativi, l’accesso a Microsoft 365 con privilegi elevati o le applicazioni che gestiscono dati finanziari o dei clienti. Ciò rafforza la protezione laddove una violazione causerebbe il maggior danno, senza aggiungere inutili ostacoli per il resto degli utenti.
C'è anche un vantaggio che viene spesso trascurato: l'esperienza utente con le passkey è in realtà migliore dell'MFA tradizionale. Nessun codice da copiare, nessuna notifica push da attendere, nessuna app da aprire. L'utente sblocca con il proprio viso o con l'impronta del dito ed è fatta. Per i partner che gestiscono clienti la cui resistenza all'MFA deriva proprio dalle difficoltà che comporta, si tratta di un’argomentazione davvero convincente per chiudere la trattativa.
Perché le autorità di regolamentazione e le compagnie assicurative stanno promuovendo l’MFA resistente al phishing
Ma c'è un altro motivo per agire, e colpisce in profondità.
Dal punto di vista della regolamentazione, la direzione è chiara. I quadri normativi come NIST, CISA, NIS2 e DORA puntano tutti alla stessa conclusione: i controlli degli accessi basati su metodi tradizionali non sono più sufficienti e un numero crescente di normative richiede o raccomanda esplicitamente l’MFA resistenti al phishing come parte di architetture zero trust.
Ma la pressione che si fa sentire più da vicino proviene dalle assicurazioni informatiche.
Chi gestisce la sicurezza per i propri clienti come MSP o partner di canale, probabilmente lo ha già osservato. Le trattative per il rinnovo delle assicurazioni contro i rischi informatici stanno portando l’MFA al centro dell’attenzione in contesti in cui prima non veniva mai menzionata.
Gli assicuratori hanno imparato la lezione dai sinistri. Sanno che la compromissione delle credenziali è alla base della maggior parte degli incidenti per cui devono pagare i risarcimenti e hanno quindi adeguato i loro requisiti. Circa l'80% ora richiede l'MFA come condizione imprescindibile per l'emissione o il rinnovo delle polizze. Ma il cambiamento più significativo è rappresentato dal fatto che gli assicuratori distinguono sempre di più tra MFA standard e MFA resistente al phishing nel calcolo dei premi e nella definizione dei termini di copertura. Le aziende che non sono in grado di dimostrare di applicare solidi controlli di accesso devono affrontare premi più elevati, esclusioni di copertura o rifiuti categorici.
Non si tratta di un’ipotesi. Anzi, sono numerosi i casi documentati: ad esempio, alla Città di Hamilton, in Canada, è stata respinta una richiesta di risarcimento di 18 milioni di dollari a seguito di un attacco ransomware perché l'MFA non era stata implementata completamente nei sistemi interessati.
Tutto ciò cambia molto le conversazioni con i clienti. Non è più una questione di “doversi proteggere meglio”, ma di qualcosa di “necessario per rinnovare la polizza e soddisfare i requisiti in arrivo". E se non sei tu a offrirglielo, lo farà qualcun altro.
AuthPoint: come sfruttarlo per aggiungere le passkey alla tua offerta di sicurezza
WatchGuard AuthPoint supporta le passkey FIDO2 per le risorse OIDC (OpenID Connect), consentendo agli utenti di autenticarsi su applicazioni come FireCloud, Microsoft Entra ID e qualsiasi applicazione integrata in OIDC utilizzando i parametri biometrici del dispositivo, senza password né codici.
Il suo funzionamento segue i principi che abbiamo descritto: autenticazione crittografica legata al dominio reale, con la chiave privata sempre sul dispositivo dell'utente. Resistente al phishing fin dalla progettazione.
Per gli amministratori, la disponibilità delle passkey è controllata per ogni risorsa OIDC tramite le policy Zero Trust in WatchGuard Cloud. Ciò consente un'implementazione graduale: si possono abilitare le passkey per applicazioni specifiche, limitarle a risorse a sicurezza elevata o combinarle con altri metodi di autenticazione a seconda dello scenario.
La buona notizia? Le passkey sono incluse nelle licenze AuthPoint MFA e AuthPoint Total Identity Security senza costi aggiuntivi! Non servono dunque né moduli aggiuntivi né funzionalità premium. Chi lavora già con AuthPoint può offrire questa funzionalità ai propri clienti semplicemente abilitandola, senza la necessità di modifiche alla licenza o rinegoziazioni.
Per capire meglio perché l'MFA rimane essenziale e come proteggere l'accesso dal furto di credenziali, dai un'occhiata a questi post sul nostro blog: