Perché passwordless è più sicuro del solo MFA tradizionale?

Il passwordless basato su FIDO2 è intrinsecamente phishing-resistant: usa chiavi crittografiche legate al dispositivo e non invia segreti riutilizzabili, riducendo la superficie d’attacco rispetto a password e push OTP soggetti a prompt bombing.

La biometria espone i miei dati?

Nei sistemi moderni i dati biometrici restano sul dispositivo e servono solo a sbloccare la chiave privata; non vengono trasmessi in rete né salvati su server, riducendo il rischio di esfiltrazione.

Il PIN non è una password con altro nome?

Il PIN è locale: non viaggia su Internet e non è archiviato su server; sblocca l’autenticatore sul device, con limiti di tentativi e protezioni hardware che riducono i rischi di furto remoto.

Cosa cambia per l’utente?

L’accesso diventa più rapido e semplice, senza dover ricordare password complesse o approvare notifiche incessanti; dietro le quinte, la sicurezza aumenta grazie a passkey e verifica del dispositivo.

Focus

Vecchia password addio: ecco perché la MFA è la mossa più sicura secondo Cisco

Scritto da Monica 4 min read

novembre 12, 2025

Nel 2025 le password sono diventate l’anello debole della sicurezza degli account, tra riutilizzi, furti massivi e attacchi sempre più mirati che sfruttano database e infostealer; studi recenti mostrano che una larga fetta degli utenti riutilizza le stesse credenziali su più servizi, rendendo una singola violazione un rischio moltiplicato su scala personale e aziendale. In questo contesto, la transizione verso passwordless e autenticazione a più fattori (MFA) non è un vezzo tecnologico ma una risposta concreta alle minacce moderne, con Cisco e Duo a guidare un approccio che unisce phishing-resistance, crittografia a chiave pubblica e verifica del dispositivo per chiudere le porte ai criminali.

Il punto centrale è che l’autenticazione passwordless sfrutta FIDO2/WebAuthn, ovvero coppie di chiavi crittografiche legate al dispositivo e non riutilizzabili su domini diversi, eliminando completamente il “segreto condiviso” tipico delle password e degli OTP. Questo significa che non c’è nulla da intercettare tramite phishing: la chiave privata resta locale, i dati biometrici servono solo a sbloccarla sul device e non vengono trasmessi in rete, riducendo drasticamente il rischio di furti remoti e stuffing. Cisco riporta che, portando Duo Passwordless a scala enterprise, si eliminano i fattori MFA “phishabili” e si riducono le frizioni d’accesso, con benefici misurabili su produttività e incidenti legati alle password.

Un mito diffuso è che la MFA tradizionale sia sempre superiore al passwordless; in realtà, quando il passwordless è implementato con fattori legati al dispositivo e biometria o PIN locale, è di fatto MFA in un singolo gesto, con un’esperienza migliore e una superficie d’attacco inferiore rispetto ai metodi “push” soggetti a prompt bombing. Gli standard moderni puntano proprio alla phishing-resistance, dove solo richieste legittime da domini attesi possono attivare la risposta crittografica del dispositivo, neutralizzando le pagine esca e gli attacchi di ingegneria sociale più comuni.

Un altro fraintendimento riguarda il PIN, spesso confuso con una password: qui il PIN è locale al dispositivo e non viaggia mai online, fungendo da sblocco per l’autenticatore e combinandosi con limiti di tentativi e protezioni hardware, quindi non esiste un “segreto” remoto da rubare con un data breach. Se abbinato a biometria come impronta o volto, il sistema sfrutta rilevamento di vivacità e sensori dedicati come quelli di Windows Hello o equivalenti, aumentando la resistenza a spoofing fisici e riducendo l’errore utente senza esporre i tratti biometrici fuori dal device. Questo modello difensivo rende gli accessi più personali e al tempo stesso più robusti, perché lega l’identità all’hardware e al contesto anziché a stringhe ripetute e facilmente estraibili.

Sul fronte phishing, le credenziali FIDO/passkey hanno un vantaggio strutturale: l’autenticatore risponde solo a challenge dal dominio corretto e non rilascia informazioni riutilizzabili altrove, interrompendo a monte il ciclo di furto e riuso tipico di password, OTP via SMS o e-mail. Questo approccio riduce anche la MFA fatigue, eliminando le notifiche push che gli attaccanti tentano di sfruttare con bombardamenti di richieste, e sostituendole con scambi silenti e device-bound che non richiedono approvazioni “alla cieca”. In pratica, si ottiene un accesso più rapido e coerente con i principi zero trust, dove identità e dispositivo sono continuamente verificati prima di concedere risorse.

Le evidenze organizzative sono significative: Cisco segnala di aver eliminato incidenti legati alle password e di aver ridotto del 93% le azioni di autenticazione, grazie all’adozione di Duo Passwordless integrato nei flussi di Secure Access e nell’architettura zero trust. Questo si traduce in minori costi di supporto, minori reset password e un’esperienza d’uso più fluida per migliaia di dipendenti, senza sacrificare conformità a standard NIST, CISA e requisiti FIPS richiesti in molti settori regolamentati.

La morale per l’utente finale è semplice: nel mondo reale le password sono riutilizzate e facilmente sfruttabili, mentre le passkey e i metodi passwordless riducono il valore di un furto perché non c’è nessun segreto riutilizzabile da sottrarre, né prompt da forzare con social engineering. Passare a FIDO2/passkeys con soluzioni come Cisco Duo migliora la sicurezza contro phishing e credential stuffing e, al contempo, semplifica il login quotidiano su app e servizi, portando benefici sia a chi gestisce la sicurezza sia a chi deve solo entrare e lavorare.

Vecchia password addio: ecco perché la MFA è la mossa più sicura secondo Cisco

Ti potrebbe interessare:

FRITZ!OS 8.20: la rete domestica diventa smart, veloce e sicura

Paghi ancora in contanti al ristorante? Scopri perché il 67% degli italiani ha già scelto il digitale (ma non rinuncia all’operatore!)

iOS 26: tutte le novità tra design, intelligenza artificiale e privacy secondo Apple