Accesso senza password

Autenticazione passwordless e passkey

Passkey FIDO2/WebAuthn, SSO e magic link: come togliere di mezzo il segreto riutilizzabile che alimenta phishing e credential stuffing — con MFA adattiva e credenziali protette by design.

Risposta rapida

L'autenticazione passwordless permette all'utente di accedere senza digitare una password: al suo posto usa un fattore crittografico legato al dispositivo (passkey basata su FIDO2/WebAuthn), un link o codice monouso (magic link, OTP) o l'identità già verificata da un provider aziendale (SSO). L'obiettivo è eliminare il segreto riutilizzabile che alimenta phishing, credential stuffing e riuso delle password. LoginMaster riduce il rischio password su tre fronti: federa l'accesso con Microsoft Entra ID e Google Workspace, così gli utenti sfruttano il passwordless già attivo sul loro provider; applica MFA adattiva per alzare la barriera solo quando il contesto è rischioso; e dove una credenziale esiste ancora la protegge con hashing Argon2 e architettura split-salt, in cui nemmeno il fornitore può ricostruirla.

I modi per andare passwordless

Passkey (FIDO2 / WebAuthn)

Una coppia di chiavi crittografiche legata al dispositivo: la chiave privata non lascia mai il device e sblocca l'accesso con biometria o PIN. È resistente al phishing perché la firma è vincolata al dominio legittimo.

SSO e federazione

Con Single Sign-On l'utente si autentica una volta presso il proprio identity provider (Entra ID, Google Workspace) e accede a tutti i servizi collegati. Se il provider offre il passwordless, l'intero flusso diventa passwordless.

Magic link e OTP monouso

Un link o un codice valido una sola volta, inviato via email o app, sostituisce la password nel momento dell'accesso. Utile per onboarding e scenari a bassa frizione, va sempre combinato con controlli di contesto.

MFA adattiva come rete di sicurezza

Anche in un flusso passwordless serve valutare il rischio: dispositivo nuovo, geografia anomala, orario insolito. La MFA adattiva di LoginMaster chiede un fattore aggiuntivo solo quando il contesto lo giustifica.

Metodi a confronto

Resistenza al phishing, riuso del segreto e frizione per l'utente, in una tabella.

MetodoResistenza al phishingSegreto riutilizzabileFrizione utente
Password + MFAParzialeA rischioMedia
Passkey (FIDO2)Nessun segreto riutilizzabileBassa
SSO federatoDipende dal providerUn'unica identitàMolto bassa
Magic link / OTPLimitataSegreto monousoBassa

Domande frequenti

È un metodo di accesso che non richiede all'utente di inserire una password. Al suo posto si usa un fattore crittografico legato al dispositivo (passkey FIDO2/WebAuthn), un elemento monouso (magic link, OTP) o un'identità già verificata da un provider tramite SSO. Eliminando il segreto riutilizzabile si neutralizzano phishing, credential stuffing e riuso delle password.

Una password è un segreto condiviso che l'utente digita e che il server deve conservare (idealmente sotto forma di hash). Una passkey è una coppia di chiavi crittografiche: la chiave privata resta sul dispositivo e non viene mai trasmessa, mentre il server custodisce solo quella pubblica. Non c'è nulla da rubare in un database e la firma è vincolata al dominio legittimo, quindi è resistente al phishing.

LoginMaster abilita flussi passwordless soprattutto tramite la federazione SSO con Microsoft Entra ID e Google Workspace: se questi provider hanno attivato passkey o Windows Hello, gli utenti accedono senza password ai servizi basati su LoginMaster. In parallelo, LoginMaster applica MFA adattiva e protegge le credenziali residue con Argon2 e split-salt. Il supporto nativo alle passkey FIDO2/WebAuthn segue l'evoluzione della piattaforma.

Le passkey basate su FIDO2/WebAuthn sono resistenti al phishing perché la firma crittografica è legata al dominio legittimo e non può essere replicata su un sito clone. Altri metodi come i magic link o gli OTP riducono il rischio ma non lo azzerano, perché un codice può ancora essere intercettato in tempo reale. Per questo LoginMaster affianca sempre valutazione del contesto e MFA adattiva.

Molti scenari restano ibridi: alcuni utenti usano ancora una password, altri un secondo fattore basato su segreto. Dove una credenziale esiste, LoginMaster ne calcola l'hash con Argon2 e la distribuisce con uno schema split-salt tra Tenant e Cloud, così che nessun singolo archivio — nemmeno il fornitore — possa ricostruirla. È la difesa in profondità che accompagna la transizione verso il passwordless.

Sì. Ridurre o eliminare le password abbassa la superficie di attacco e rafforza i controlli di accesso richiesti da NIS2 e ISO 27001, mentre l'architettura Tenant-Cloud di LoginMaster mantiene i dati personali sul tenant del cliente in linea con il GDPR. Passwordless e minimizzazione dei dati vanno nella stessa direzione: meno segreti da custodire significa meno dati sensibili esposti.

Riduci la dipendenza dalle password

SSO federato, MFA adattiva e credenziali protette con Argon2 e split-salt: accompagniamo la tua transizione verso il passwordless senza riscrivere le applicazioni.