SHIELD

Dispositivi

YubiKey e chiavi FIDO2: tutto ciò che non Le hanno detto

Scegliere, configurare, gestire e non bloccarsi da soli con le chiavi di autenticazione hardware.

Pubblicato il 17 min di lettura Exposed

Ultima revisione:

Computer portatile aperto su una scrivania

Un ricercatore di sicurezza perde la sua chiave in un taxi a Berlino, una domenica sera. Una sola chiave. Quarantasette account bloccati dietro. Ha passato tre settimane a recuperare i suoi accessi uno per uno, tramite procedure di recovery tutte diverse, alcune impossibili senza chiamare un supporto che risponde solo negli orari di ufficio di un altro fuso. «Pensavo che una chiave bastasse.» Lo sento più o meno una volta al mese. È, e di gran lunga, il guasto più frequente che incontro con le chiavi hardware: se ne compra una, la si registra su due o tre account, e non si pensa mai allo scenario della perdita prima che arrivi.

Angle de lecture

La trappola abituale

Comprare una chiave hardware non è una strategia di sicurezza. La chiave è uno strumento. La strategia è il deployment: quante chiavi, su quali account, dove vive il backup, come si gestisce la perdita, come si gestisce il ciclo di vita. Il discorso dominante si ferma a «prendi una YubiKeyChiave di autenticazione hardware di Yubico, compatibile con FIDO2/WebAuthn, OTP, PIV, OpenPGP., è il miglior MFAAutenticazione a più fattori: combinare due prove d'identità indipendenti per accedere.». È vero ed è insufficiente. È esattamente come dire «prendi un estintore» senza precisare quanti, dove, e chi sa usarli.

La configurazione che vedo più spesso: una sola chiave, registrata su Google e GitHub, e tutti i metodi di recupero deboli sempre attivi in parallelo. SMS di riserva su un numero mobile ordinario, e-mail di recupero senza secondo fattore, domande di sicurezza le cui risposte si attardano su LinkedIn. In questa configurazione, la chiave non cambia radicalmente la Sua esposizione: aggiunge una porta blindata accanto a una finestra aperta. Un attaccante che vuole entrare non forza la porta blindata. Innesca un SIM swapAttacco in cui un truffatore convince il proprio operatore a trasferire il numero su una SIM controllata da lui., intercetta l’SMS di riserva, e resetta l’accesso senza mai incrociare la Sua chiave.

L’altra trappola è più sottile e più dolorosa: la chiave fa il suo lavoro troppo bene. Il FIDO2Standard di autenticazione forte tramite chiave crittografica hardware, resistente al phishing. è concepito affinché nessuna copia della credential lasci la chiave. È precisamente ciò che lo rende inviolabile al phishing — ed è anche ciò che La chiude fuori il giorno in cui la chiave cade nel tombino. Non c’è «password dimenticata» per un oggetto fisico perso. La sola parata è la ridondanza: aver previsto una seconda chiave prima dell’incidente. La regola di base sta in una frase: ogni account critico deve avere due chiavi registrate, e i metodi di recovery alternativi devono essere almeno solidi quanto la chiave stessa. Tutto il resto ne deriva.

Inventario reale: cosa fa veramente una chiave, e contro cosa

Una chiave hardware non è un oggetto a funzione unica. A seconda del protocollo che parla con il servizio, La protegge contro cose diverse. Confondere questi protocolli significa credere di essere coperti dove non lo si è.

Il protocollo centrale, quello che giustifica l’acquisto da solo, è FIDO2Standard di autenticazione forte tramite chiave crittografica hardware, resistente al phishing. e la sua interfaccia browser WebAuthnAPI del browser che consente l'autenticazione FIDO2 sui siti web.. Ecco cosa fa che nessun altro fa: quando Lei registra una chiave su un sito, essa genera una coppia di chiavi crittografiche legata al dominio esatto del servizio — accounts.google.com, per esempio. A ogni connessione, la chiave verifica che il dominio che chiede l’autenticazione corrisponda al dominio di registrazione. Una pagina di phishingAttacco di ingegneria sociale che spinge il bersaglio a fornire le proprie credenziali o eseguire codice. ospitata su accounts-google.com o google.secure-login.example non corrisponde. La chiave rifiuta di firmare. Non chiede il Suo parere, non si fida di Lei per individuare l’errore nell’URL: constata lo scarto di dominio e si ferma. Nessun codice TOTPCodice a 6 cifre generato ogni 30 secondi da un'app (Google Authenticator, Authy, ecc.)., nessun SMS, nessuna notifica push fa questo — tutti questi fattori possono essere inseriti su una pagina falsa e rigiocati in tempo reale dall’attaccante. È la sola difesa anti-phishing che resiste a un operatore umano competente di fronte.

Gli altri protocolli sono bonus utili, non il cuore. L’OTP: la chiave può generare un codice monouso per i siti che non supportano ancora FIDO2. La PKISistema che gestisce i certificati e le chiavi pubbliche per autenticare le identità. tramite PIV (Personal Identity Verification): la chiave memorizza certificati x.509 per l’autenticazione SSH tramite certificato, il login Windows tramite smartcard, la firma di documenti — la chiave privata non lascia mai il materiale, dunque un laptop compromesso non permette di esfiltrarla. PGPSistema di cifratura end-to-end e firma, creato da Phil Zimmermann nel 1991.: la chiave firma i Suoi commit Git e decifra le Sue e-mail senza che la chiave privata tocchi il disco. In tutti questi casi, il principio è identico: l’operazione crittografica si fa sul chip, non sulla macchina host. È ciò che trasforma un segreto «copiabile» in un segreto «inestraibile».

Un dettaglio tecnico cambia tutto nella pratica, e nessuno glielo spiega al momento dell’acquisto: la differenza tra credential residente e non residente. Una credential non residente (la forma storica, detta «server-side») non è memorizzata sulla chiave — è il servizio che conserva un blob cifrato che rinvia alla chiave al momento dell’autenticazione. La chiave può dunque gestirne un numero illimitato, ma non «sa» nulla: non può elencare i Suoi account, e Lei deve sempre fornire un identificativo per avviare la connessione. Una credential residente (discoverable, quella che esigono le passkeyImplementazione consumer di FIDO2: chiave di autenticazione memorizzata e sincronizzata da Apple/Google/Microsoft.) è, lei, memorizzata nel chip: la chiave diventa capace di presentarsi da sola, senza identificativo, il che permette il login «senza nome utente». Il rovescio della medaglia è duro: la memoria è limitata — dell’ordine di 25 credential residenti su una YubiKey 5, di più sulle generazioni recenti — e soprattutto, una credential residente non può essere copiata né esportata. Se Lei costruisce tutto su passkey residenti e perde la chiave, non «recupera» nulla: riparte dalla procedura di riserva del servizio. È esattamente per questo che la seconda chiave deve, anch’essa, ricevere la propria credential residente su ogni account interessato.

Ora, il modello di minaccia onesto. Contro cosa una chiave hardware non La protegge. Non protegge un account su cui un metodo di recupero debole resta attivo: l’attaccante passa dall’anello debole, punto. Non protegge contro la perdita fisica se Lei non ha backup: diventa il Suo stesso avversario. Non protegge contro un servizio mal programmato che accetta un downgrade verso un fattore più debole «perché Lei ha dimenticato la sua chiave» — e molti servizi consumer lo fanno ancora, proponendo un ripiego SMS appena la chiave non è collegata. E non protegge contro l’attaccante che ha un accesso root persistente alla Sua macchina mentre la chiave è collegata — non ruba la chiave, dirotta una sessione già autenticata. La chiave mette in sicurezza l’autenticazione, non la sessione che segue. Capire questo perimetro significa smettere di credere che un pezzo di plastica da 50 € sia un mantello dell’invincibilità.

Resta la questione del tocco. Sulla maggior parte delle chiavi, l’autenticazione FIDO2 esige una «presence check»: un contatto fisico sul disco dorato. Questo gesto prova che un umano è presente, il che blocca l’uso a distanza da parte di un malware che avesse accesso alla porta USB. Ma un semplice contatto non è una prova di identità: chiunque abbia la chiave in mano può toccare. I modelli biometrici aggiungono una verifica di impronta locale — la chiave firma solo se l’impronta registrata corrisponde. Per una postazione condivisa, un open space, o un profilo che teme il furto opportunistico della chiave collegata, questa sfumatura conta. Per la maggior parte degli usi, il contatto fisico basta, perché l’attaccante che ha già la Sua chiave in mano ha probabilmente anche il Suo laptop, e il problema non è più lo stesso.

L’approccio giusto: la regola delle due chiavi, e il deployment per criticità

La bascula pragmatica sta in una parola: ridondanza prima della migrazione. Lei non attiva mai una chiave su un account critico senza registrarne una seconda nella stessa sessione. Non «più tardi», non «quando avrò ricevuto la seconda»: nella stessa sessione, o non tocca l’account. È controintuitivo perché si ha voglia di mettere in sicurezza in fretta. Ma una chiave unica su un account critico è una trappola a scoppio ritardato che Lei si tende da solo.

Concretamente, applico sistematicamente la regola delle due chiavi, idealmente di due modelli diversi. Una chiave primaria — addosso a Lei in permanenza, portachiavi o tasca interna, è lei che serve quotidianamente. Una chiave backup — in un luogo fisico distinto: cassaforte a casa, cassetta di sicurezza in banca, o presso una persona di fiducia, mai nella stessa borsa della primaria. Se Lei perde la borsa, non deve perdere le due chiavi in un colpo. Due modelli diversi sono l’assicurazione contro un difetto di serie o un richiamo del produttore: se una falla tocca un modello, l’altro resta valido. Per i profili molto esposti — dirigenti, giornalisti, persone sotto minaccia mirata — una terza chiave presso un terzo di fiducia copre lo scenario estremo: Lei è incapacitato, all’estero senza bagaglio, o il backup è inaccessibile.

L’ordine di deployment non è banale. Si comincia dall’account la cui caduta fa cadere tutti gli altri, poi si scende per criticità decrescente. La sequenza che raccomando: prima il gestore di password, chiave di volta di tutta la vita digitale; poi l’e-mail principale, perché è il vettore di recupero di quasi tutto il resto; poi l’account di identità federata (Google, Apple, Microsoft) che serve spesso da SSOMeccanismo che consente di autenticarsi una volta sola per accedere a più applicazioni. verso una decina di servizi terzi; poi GitHub/GitLab se Lei sviluppa, e infine gli account bancari e crypto. Per ogni account: si registra la chiave primaria, si registra il backup, si scaricano i codici di recupero offline, si tiene temporaneamente attivo il vecchio MFA, e lo si disattiva solo dopo aver verificato che tutto funzioni sulle due chiavi. La migrazione si distende su due o tre settimane, non su una serata nervosa.

Ultimo punto, il solo test che conta veramente: si disconnetta da un account e si riconnetta unicamente con la chiave backup, una volta, sul serio. Finché non ha eseguito questo flusso, Lei non sa se funziona — lo spera. Un piano di recovery non testato è un piano che fallisce esattamente il giorno in cui ne ha bisogno.

Scegliere il modello giusto senza sbagliare

Il mercato sembra complicato, non lo è. Tre domande bastano a decidere: quale connettore, quali protocolli, e quale livello di verifica fisica. Il resto è marketing.

Il connettore prima di tutto, perché è la trappola più sciocca: una chiave USB-A in un laptop che ha solo USB-C è un fermacarte. Guardi le Sue porte prima di comprare. La maggior parte degli ultrabook recenti (MacBook, Dell XPS, Surface) sono tutti USB-C; i tower e molti PC pro mantengono dell’USB-A. L’NFC, lui, non è un lusso: è ciò che permette di avvicinare la chiave al retro del telefono per autenticarsi su mobile, senza adattatore, senza dongle. Per chiunque usi il proprio telefono — cioè tutti — l’NFC è non negoziabile.

Il modello di riferimento resta la YubiKey 5 NFC (USB-A + NFC) o la sua gemella 5C NFC (USB-C + NFC). Parlano tutti i protocolli utili: FIDO2Standard di autenticazione forte tramite chiave crittografica hardware, resistente al phishing./WebAuthn, OTP, PIVSistema che gestisce i certificati e le chiavi pubbliche per autenticare le identità. per i certificati, OpenPGPSistema di cifratura end-to-end e firma, creato da Phil Zimmermann nel 1991.. È il buon default per il 90% delle persone e per un primo deployment aziendale, perché copre tutti i casi d’uso senza dover ricomprare materiale sei mesi dopo. Le varianti Nano (5 Nano, 5C Nano) sono versioni miniaturizzate che restano collegate in permanenza nella porta: pratiche in ufficio per non perderla mai, ma è esattamente ciò che si dimentica in un laptop che si presta o che ci viene rubato. Da riservare a una postazione fissa che non si muove.

I modelli biometrici (YubiKey Bio) aggiungono l’impronta digitale descritta sopra: la chiave firma solo per la persona giusta. Il prezzo sale, la copertura di protocolli si riduce spesso al solo FIDO2, ma per un dirigente o un profilo sotto minaccia, l’assicurazione che una chiave rubata collegata non basti vale il sovrapprezzo. Lato alternative, la Nitrokey, progettata in Germania e con materiale aperto, seduce i profili che rifiutano di dipendere da un fornitore unico o vogliono auditare il firmware — la strumentazione di gestione è meno curata, la funzione equivalente su FIDO2 e OpenPGP. La Google Titan, lei, fa del FIDO2 affidabile e nient’altro: non programmabile, semplice, corretta come backup economico accanto a una YubiKey completa. È del resto una strategia sana variare: una YubiKey 5 come primaria polivalente, una seconda chiave di un’altra marca o di un altro modello come backup, per non dipendere da una sola linea di firmware.

Ciclo di vita, reset e revoca

Una chiave non è un acquisto puntuale, è un asset da gestire nel tempo — esattamente come un mazzo di chiavi fisiche. Tre momenti contano: la perdita, la cancellazione, e la partenza.

Alla perdita della chiave primaria, lo scenario è confortevole se Lei ha fatto il lavoro a monte: continua a connettersi con il backup, ordina un sostituto, lo registra su tutti gli account, e solo in seguito rimuove la credential dalla chiave persa, account per account. Attenzione alla trappola: su molti servizi, «rimuovere una chiave» elimina una credential lato server, ma la chiave fisica persa, se viene ritrovata, resta tecnicamente valida per gli account dove Lei non ha fatto pulizia. Da qui l’inventario — sapere precisamente su quali account ogni chiave è registrata. È ykman che glielo dice: ykman fido credentials list enumera le credential residenti di una chiave, ykman info dà il suo stato generale. Senza questo strumento, Lei gestisce alla cieca.

La cancellazione (reset) è l’operazione che si trascura fino al giorno in cui se ne ha bisogno sotto pressione. ykman fido reset cancella tutte le credential FIDO2 residenti e azzera il PIN; ykman piv reset riparte da zero lato certificati; gli slot OpenPGP e OTP si reimpostano separatamente. I casi d’uso: rivendita di una chiave, chiave ereditata da un collega partito, o chiave sospettata compromessa che si rimette a nuovo prima del riutilizzo. Il giorno in cui Lei rivende o ricicla una chiave senza il reset, lascia potenzialmente credential e un certificato sfruttabili all’acquirente successivo. Conoscere questi comandi a freddo significa non improvvisare a caldo.

In azienda, la revoca è l’anello che si dimentica di cablare. Una chiave deve essere legata a un’identità nell’IAMGestione centralizzata delle identità e degli accessi alle risorse., e la partenza di un collaboratore deve innescare l’invalidazione delle sue credential allo stesso titolo della disattivazione del suo account e-mail. Una credential FIDO2 orfana — valida, collegata a un account ancora attivo, nella tasca di un ex dipendente — è esattamente il genere di debito di sicurezza invisibile che si vede solo all’incidente. La modalità aziendale delle chiavi (attestazione, configurazione bloccata, PIN imposto) esiste precisamente per rendere questo parco auditabile. La stessa logica vale per il reset: è una procedura documentata, non un gesto individuale lasciato all’iniziativa di ciascuno.

Cosa comporta concretamente

Per Lei, in quanto persona

Budget totale realistico sotto i 200 €, fattibile questo weekend. Tre priorità, nell’ordine, e non una di più finché le tre non sono fatte.

  1. Compri due chiavi, non una. Una YubiKey 5 NFC (USB-A o USB-C a seconda del Suo laptop) come primaria, più una Security Key NFC, meno cara, come backup. Due chiavi, due cassetti diversi. Il backup non esce mai dal suo luogo di custodia, salvo il giorno in cui la primaria sparisce. Costo: circa 50 € + 30 €.
  2. Registri le due chiavi sul Suo gestore di password PRIMA di tutto il resto. È l’account che apre tutti gli altri. Se dovesse mettere in sicurezza un solo account con le Sue chiavi, sarebbe quello. Di seguito, faccia altrettanto sulla Sua e-mail principale e sul Suo account Google/Apple. Scarichi e stampi i codici di recupero, li riponga con la chiave backup.
  3. Tagli gli SMS di riserva una volta validata la migrazione. Finché un SMS di recupero resta attivo su un account protetto da chiave, Lei resta esposto al SIM swapAttacco in cui un truffatore convince il proprio operatore a trasferire il numero su una SIM controllata da lui.: l’attaccante aggira la chiave dal canale debole. Lo disattivi solo dopo aver testato una connessione completa con la chiave backup — non prima, altrimenti rischia il lockout.

Per Lei, CISO / Direzione IT / dirigente

1. Distribuisca per cerchi di criticità, non per ondata HR. Cominci dagli account a privilegi — amministratori IT, team IAMGestione centralizzata delle identità e degli accessi alle risorse., console cloud, accesso root — perché sono loro che, compromessi, danno le chiavi del regno. Poi i dirigenti e le funzioni finanziarie (bersagli BEC), poi le funzioni sensibili. Conseguenza diretta: Lei ottiene una riduzione del rischio massima già dalle prime settimane, sulla popolazione più presa di mira, senza attendere un rollout completo di 12 mesi.

2. Imponga due chiavi registrate per account, finanziate dall’azienda, e un fattore anti-phishing esclusivo sugli account admin. Su questi account, disattivi ogni fattore di ripiego debole (TOTP via SMS, OTP via e-mail) una volta messa in posto la doppia chiave. Conseguenza diretta: un account amministratore non può più essere phishato da una pagina specchio né da un operatore in tempo reale, il che chiude il vettore d’ingresso n°1 delle compromissioni di fornitori di servizi.

3. Industrializzi il ciclo di vita: provisioning, inventario, revoca, offboarding. Tenga un registro delle credential per chiave fisica (tramite ykman o l’attestazione aziendale), leghi la chiave all’identità nell’IAMGestione centralizzata delle identità e degli accessi alle risorse., e integri la revoca nel processo di partenza. Conseguenza diretta: una chiave persa o una partenza non lascia una credential orfana valida, e Lei può provare lo stato del parco durante un audit.

Errori che si vedono di continuo

  • Una sola chiave, nessun backup. L’errore regina. Funziona perfettamente fino al giorno in cui la chiave cade nel water di un aeroporto. Non è una questione di «se» ma di «quando».
  • Il backup registrato solo su certi account. Lo si aggiunge su Google e GitHub, si dimentica il gestore di password. Risultato: alla perdita della primaria, si tiene l’accesso all’accessorio e si perde l’accesso alla cassaforte centrale.
  • Codici di recupero mai salvati. È la rete di sicurezza ultima. Persi insieme alla chiave, il recupero diventa una via crucis, talvolta un vicolo cieco definitivo.
  • Primaria e backup nella stessa borsa. Due chiavi, un solo punto di fallimento fisico. Un furto di borsa e Lei ha perso le due insieme — tanto valeva averne una sola.
  • Metodi di recovery deboli lasciati attivi. SMS di riserva, e-mail di recupero senza MFA, domande di sicurezza pubbliche. La chiave diventa decorativa: l’attaccante non l’attacca, la aggira.
  • Nessun test del flusso backup. Si registra la seconda chiave e non la si usa mai. Il giorno X, si scopre che un servizio esigeva una tappa dimenticata. Il piano non testato non è un piano.
  • Confondere chiave hardware e passkey sincronizzata. Una passkeyImplementazione consumer di FIDO2: chiave di autenticazione memorizzata e sincronizzata da Apple/Google/Microsoft. sincronizzata in un cloud (iCloud, Google) è pratica ma non vive in un chip inestraibile: il suo modello di minaccia differisce. Per gli account a più alto valore, la chiave hardware resta il livello superiore.

Checklist azionabile

  • N1 Comprare due chiavi hardware, idealmente due modelli (primaria + backup)
  • N1 Registrare le due chiavi sul gestore di password per primo
  • N1 Registrare le due chiavi sull'e-mail principale e sull'account di identità federata
  • N1 Scaricare e memorizzare offline i codici di recupero di ogni account critico
  • N2 Riporre la chiave backup in un luogo fisicamente distinto dalla primaria
  • N2 Testare una connessione completa con la sola chiave backup prima di disattivare il vecchio MFA
  • N2 Disattivare i metodi di recovery deboli (SMS, e-mail non protetta) dopo la validazione
  • N3 Installare ykman e inventariare le credential registrate su ogni chiave
  • N3 Distribuire in azienda per cerchio di criticità (admin → dirigenti → funzioni sensibili)
  • N3 Registrare una terza chiave presso un terzo di fiducia per i profili molto esposti

Per approfondire

La documentazione ufficiale di Yubico(opens in a new tab) copre in dettaglio ykman, la modalità PIV e la gestione delle credential residenti — da leggere prima di ogni deployment serio. Le specifiche della FIDO Alliance(opens in a new tab) e la raccomandazione WebAuthn del W3C(opens in a new tab) spiegano perché il meccanismo di legame al dominio rende il phishing inoperante: utile per argomentare di fronte a una direzione che dubita del ritorno sull’investimento. Infine, le raccomandazioni dell’ACNAutenticazione a più fattori: combinare due prove d'identità indipendenti per accedere. (Agenzia per la Cybersicurezza Nazionale) sull’autenticazione multifattore pongono il quadro atteso lato impresa italiana, in particolare per gli account a privilegi.

Fonti e approfondimenti

Articoli correlati