Sabato 04 Luglio 2026 09:26:06 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cloud, SaaS & Identity Security

Serrature invisibili, rischi visibili: come il cloud delle passkey di Google Authenticator potrebbe diventare il parco giochi degli hacker

Pubblicato: 25 Marzo 2026 13:38Categoria: Cloud, SaaS & Identity SecurityArea: North AmericaAutore: SECPULSE

Sottotitolo: Il nuovo sistema di sincronizzazione senza password di Google promette sicurezza, ma la sua architettura cloud nascosta potrebbe essere la prossima grande frontiera dei cyberattacchi.

Quando Google ha annunciato le “passkey” senza password per la sua app Authenticator, il mondo tech l’ha salutato come la fine del phishing e delle acquisizioni di account. Ma dietro le quinte, una nuova indagine rivela che proprio l’architettura cloud pensata per proteggere gli utenti potrebbe stare aprendo una porta sul retro per gli hacker-una che persino gli utenti più esperti non vedono arrivare.

Per anni, le password sono state l’anello debole delle nostre vite digitali, quindi la mossa di Google verso le passkey-segreti unici generati crittograficamente e conservati sui tuoi dispositivi-avrebbe dovuto cambiare tutto. Ma il diavolo, come sempre, sta nei dettagli. I ricercatori di sicurezza hanno recentemente scrostato gli strati del nuovo sistema di Google Authenticator e ciò che hanno trovato è al tempo stesso impressionante e inquietante.

Al centro della “magia” delle passkey di Google c’è un approccio ibrido. Quando configuri una passkey sul tuo primo dispositivo, Chrome avvia silenziosamente una complessa danza di onboarding. Un componente speciale basato sul cloud, che opera dal poco noto enclave.ua5v.com, gestisce attività crittografiche sensibili. Il tuo dispositivo crea un Security Domain Secret (SDS) principale e un PIN di recupero, cifrando tutte le passkey future e sincronizzandole tra i tuoi dispositivi-che siano Windows, macOS, Linux o ChromeOS.

La comunicazione tra il tuo dispositivo e il cloud si basa su protocolli crittografici avanzati come Noise e su canali WebSocket sicuri. Ogni nuovo dispositivo che registri entra in questo “dominio di sicurezza”, ricevendo passkey cifrate con l’SDS principale. Il risultato? Puoi accedere senza attriti su più dispositivi, con il cloud di Google che funge da intermediario fidato.

Ma ecco l’inghippo: la stessa architettura che rende possibile questa esperienza fluida introduce anche nuove superfici d’attacco. Se gli hacker riescono a compromettere il componente cloud o a intercettare gli scambi cifrati, potrebbero essere in grado di impersonare un dispositivo fidato. In teoria, questo potrebbe consentire loro di autenticarsi come te-senza mai toccare il tuo hardware-sfruttando debolezze nel modo in cui il cloud verifica i dispositivi e distribuisce le chiavi.

In modo preoccupante, gran parte di questo sistema opera dietro le quinte, con poca documentazione pubblica. Questa opacità rende più difficile per gli esperti indipendenti verificare la presenza di falle e più facile per gli attaccanti trovare punti ciechi. Man mano che l’infrastruttura di identità nel cloud diventa più complessa, i team di sicurezza devono monitorare schemi di autenticazione insoliti e configurazioni errate-non solo sui dispositivi, ma in profondità nel cloud stesso.

Il futuro senza password di Google potrebbe essere inevitabile, ma come mostra questa indagine, anche le soluzioni di sicurezza più avanzate possono nascondere pericoli invisibili. La sfida ora è fare luce su questi meccanismi nascosti-prima che lo facciano i criminali informatici.

WIKICROOK

  • Passkey: Una passkey è una credenziale digitale che usa chiavi crittografiche, memorizzate sul tuo dispositivo, per verificare in modo sicuro la tua identità senza le password tradizionali.
  • Security Domain Secret (SDS): Un security domain secret (SDS) è una chiave principale che cifra e protegge tutte le passkey sincronizzate tra i dispositivi fidati di un utente.
  • Noise Protocol: Noise Protocol è un framework per costruire canali crittografici sicuri, che abilita comunicazioni flessibili, verificabili e robuste per varie applicazioni.
  • WebSocket: WebSocket è un protocollo che mantiene un canale aperto tra il tuo browser e un server, consentendo lo scambio di messaggi bidirezionale in tempo reale.
  • Cloud Authenticator: Un cloud authenticator è un servizio remoto che gestisce e verifica le chiavi di autenticazione, consentendo un accesso sicuro da più dispositivi e piattaforme.