 |
Negli ultimi anni abbiamo assistito a un’evoluzione importante della sicurezza digitale: i password manager e le passkey sono stati presentati come soluzioni innovative per ridurre al minimo i rischi legati all’uso di password deboli o riutilizzate. Tuttavia, le recenti ricerche presentate al DEF CON 33 dimostrano che anche queste tecnologie non sono esenti da vulnerabilità. E questo deve far riflettere: nessuna soluzione è mai completamente sicura.
🔏 Password manager vulnerabili al “DOM-based Extension Clickjacking”
Un attacco dimostrato dal ricercatore Marek Tóth ha messo in evidenza un nuovo tipo di minaccia: il DOM-based Extension Clickjacking.
Si tratta di una variante del clickjacking tradizionale, in cui un utente viene indotto a cliccare su un elemento apparentemente innocuo (per esempio un banner sui cookie o un CAPTCHA), ma in realtà il suo click viene intercettato e dirottato su un’interfaccia invisibile del browser.
Nel caso specifico, il bersaglio erano i password manager: il click poteva indurre l’estensione a compilare automaticamente i campi di login e, di conseguenza, a inviare credenziali, codici 2FA, dati di pagamento o persino passkey direttamente agli attaccanti.
Secondo il ricercatore, ben dieci tra i più diffusi password manager sono risultati vulnerabili, tra cui 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass e LogMeOnce. Alcuni fornitori — come Dashlane, NordPass, ProtonPass, RoboForm e Keeper — hanno reagito rapidamente rilasciando patch correttive, mentre altri sono ancora al lavoro per mitigare il problema.
Il consiglio pratico, in attesa che tutte le correzioni vengano distribuite, è semplice: disabilitare l’autofill automatico e utilizzare il riempimento delle credenziali solo su richiesta esplicita tramite l’icona dell’estensione.
🔐Le passkey non sono così sicure come sembrano
Non solo i password manager sono finiti sotto i riflettori. Un’altra ricerca, presentata dal ricercatore Shourya Pratap Singh (SquareX), ha sollevato dubbi sulla solidità delle passkey, considerate da molti l’evoluzione definitiva delle password.
Il problema non riguarda il cuore crittografico delle passkey — basato su coppie di chiavi asimmetriche, di per sé molto sicuro — bensì il contesto in cui vengono gestite: i browser.
Se un’estensione malevola o uno script riesce a infiltrarsi durante la procedura di registrazione, può sostituire la chiave legittima dell’utente con una sotto il proprio controllo. In questo modo, il sistema di autenticazione risulta compromesso alla radice, senza che l’utente se ne accorga.
Questa scoperta non significa che le passkey siano da abbandonare, ma ci ricorda che la loro sicurezza dipende in gran parte dall’affidabilità dell’ambiente in cui vengono generate e utilizzate.
🦉 Nessuna tecnologia è infallibile
Questi due casi dimostrano che anche le soluzioni più avanzate possono essere prese di mira. Non si tratta di mettere in discussione la validità di password manager o passkey, ma di ricordare che ogni innovazione introduce anche nuove superfici di attacco.
Per gli utenti, le raccomandazioni principali restano:
- Aggiornare costantemente password manager, browser ed estensioni.
- Limitare l’autofill automatico e utilizzarlo solo quando strettamente necessario.
- Prestare attenzione alle estensioni installate e scaricarle solo da fonti affidabili.
- Non abbassare la guardia: nessuna tecnologia permette di rinunciare alla vigilanza personale.
Conclusione
Password manager e passkey rappresentano sicuramente un passo avanti rispetto all’uso delle password tradizionali, ma non devono essere considerate “blindate”. Come dimostrano le evidenze del DEF CON 33, gli attaccanti trovano sempre nuovi modi per aggirare i sistemi di sicurezza.
La lezione da trarre è semplice:
la sicurezza informatica non è mai definitiva, ma un processo continuo fatto di aggiornamenti, consapevolezza e buone pratiche.
Riferimenti
Follow me #techelopment
Official site: www.techelopment.it
facebook: Techelopment
instagram: @techelopment
X: techelopment
Bluesky: @techelopment
telegram: @techelopment_channel
whatsapp: Techelopment
youtube: @techelopment
