World Password Day 2026:
la fine dell’era delle password

Cosa è cambiato nel 2026

Il World Password Day del 7 maggio 2026 arriva in un momento di transizione. Per la prima volta, le passkey sono ufficialmente supportate dai principali provider di identità enterprise — Microsoft 365, Google Workspace, Apple Business Manager, GitHub — e non sono più una curiosità per addetti ai lavori. Allo stesso tempo, il NIST ha pubblicato nel 2024 i primi standard di crittografia post-quantum (ML-KEM, ML-DSA, SLH-DSA), aprendo una transizione decennale che le aziende devono iniziare a pianificare ora.

Il messaggio del 2026 è semplice: la password come la conosciamo non è più la prima linea di difesa. Lo è l’identità digitale, gestita con strumenti che superano la password e con uno sguardo già rivolto alla cifratura del prossimo decennio.

Perché le passkey superano la password

Una passkey è una credenziale crittografica basata su FIDO2/WebAuthn: una coppia di chiavi pubblica/privata generata e custodita sul dispositivo dell’utente (o nel password manager aziendale). L’autenticazione avviene firmando una sfida crittografica con la chiave privata, sbloccata con biometria o PIN locale. La chiave privata non lascia mai il dispositivo e il server non riceve mai un «segreto» riutilizzabile.

I vantaggi rispetto alla password tradizionale sono concreti e misurabili:

• 1Resistenza al phishing — la passkey è legata crittograficamente al dominio legittimo. Un sito clone non può ricevere una firma valida, anche se l’utente ci «cade».
• 2Niente database di password da rubare — i data breach con esfiltrazione di hash semplicemente non esistono per le passkey: il server custodisce solo la chiave pubblica, inutile per un attaccante.
• 3Esperienza utente migliore — meno dimenticanze, meno reset, meno chiamate all’help desk. Il login è un’operazione biometrica di pochi secondi.
• 4Sincronizzazione cloud — le passkey moderne (iCloud Keychain, Google Password Manager, 1Password, Bitwarden) si sincronizzano in modo end-to-end cifrato fra i dispositivi dell’utente, senza passaggi manuali.

MFA con SMS e TOTP non bastano più

L’MFA «classico» — codice via SMS, TOTP da app authenticator senza number matching, push notification senza verifica — è stato dimostrato vulnerabile in numerosi incidenti negli ultimi due anni. I meccanismi più comuni di bypass sono:

• Adversary-in-the-Middle (AiTM) phishing — un proxy malevolo (es. EvilGinx) rilancia il login dell’utente al servizio reale e intercetta sia password che codice MFA in tempo reale, rubando di fatto il cookie di sessione.
• SIM swapping — l’attaccante convince l’operatore telefonico a portare il numero della vittima su una nuova SIM e riceve i codici via SMS. Documentato in incidenti reali contro dirigenti e amministratori IT.
• MFA fatigue / push bombing — l’attaccante con credenziali rubate invia decine di push di approvazione finché l’utente esausto non clicca «Approva» per errore o fastidio.
• OAuth consent phishing — l’attaccante non ruba le credenziali ma convince l’utente a concedere a un’app malevola permessi OAuth permanenti, bypassando del tutto MFA e rotazione password.

Il NIST nelle linee guida SP 800-63B e CISA raccomandano da tempo il passaggio a MFA phishing-resistant: passkey, security key FIDO2 hardware (es. YubiKey) o Windows Hello for Business con TPM. Per gli account amministrativi e privilegiati, è ormai un requisito minimo, non un’opzione.

L’orizzonte post-quantum

I computer quantistici, quando saranno operativi su larga scala, potranno violare in tempi relativamente brevi gli algoritmi a chiave pubblica oggi alla base di internet — RSA, ECDSA, Diffie-Hellman — usati per HTTPS, VPN, firma digitale, scambio chiavi e gran parte dell’autenticazione. Il NIST nel 2024 ha pubblicato i primi tre standard di crittografia post-quantum (PQC):

• 1ML-KEM (FIPS 203) — basato sull’algoritmo Kyber, è lo standard per lo scambio chiavi resistente al quantum. Sostituisce ECDH/RSA-KEM nei protocolli TLS, IKEv2 e analoghi.
• 2ML-DSA (FIPS 204) — basato su Dilithium, è lo standard per le firme digitali post-quantum. Sostituisce ECDSA/RSA nelle PKI, nei certificati e nelle firme di codice.
• 3SLH-DSA (FIPS 205) — basato su SPHINCS+, firma digitale alternativa basata su funzioni hash. Più lenta ma indipendente dalle assunzioni di sicurezza dei reticoli.

Anche se i computer quantistici utili non sono ancora arrivati, il rischio è già concreto: gli avversari più sofisticati raccolgono oggi traffico cifrato (VPN, email, sessioni TLS) per decifrarlo domani — un modello di minaccia noto come «harvest now, decrypt later». I dati con valore decennale (segreti industriali, contratti, dati sanitari, dossier legali) sono i più esposti.

Tre azioni concrete per la tua azienda nel 2026

Senza ribaltare l’infrastruttura, ci sono tre passi che ogni PMI può intraprendere entro fine 2026:

• 1Passkey per gli account amministrativi e i ruoli privilegiati — abilitare passkey o security key FIDO2 hardware per gli amministratori globali di Microsoft 365, gli account con privilegi elevati e i sysadmin. È l’azione con il ROI più alto: protegge il punto di attacco preferito dei ransomware operator. Microsoft 365 sicuro.
• 2Password manager aziendale e verifica password compromesse — un password manager con condivisione sicura dei segreti tra team elimina le password riutilizzate, le note appiccicate e le condivisioni via email. Verifica periodica delle credenziali contro database di data breach. Verifica una password.
• 3Inventario crittografico e roadmap PQC — mappare gli usi della crittografia asimmetrica (VPN, certificati TLS, firma digitale, PKI interna) per identificare i punti che richiederanno una transizione ai sistemi PQC entro il 2030. Il primo passo è sapere cosa si ha. Servizi di cybersecurity.

Un partner per la modernizzazione dell’autenticazione

AtWorkStudio supporta le PMI nel passaggio a passkey e MFA phishing-resistant su Microsoft 365 e ambienti ibridi. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, qualificati ACN per i servizi cloud SaaS, membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.

Aiutiamo le aziende a definire una policy di autenticazione moderna (passkey per i ruoli sensibili, Conditional Access, Zero Trust), a introdurre password manager aziendali con vault condivisi e a impostare un inventario crittografico per prepararsi alla transizione PQC senza panico.