Come ethical hacker e divulgatore, questa è una delle domande che ricevo più spesso durante workshop, conferenze e sessioni di mentorship. La risposta breve è: no, non ancora. Quella lunga è più complessa, e merita un’analisi onesta, lontana da titoli sensazionalistici e vicina alla realtà tecnica e umana che quotidianamente affronto sul campo.
Le password nascono negli anni Sessanta come meccanismo di controllo d’accesso per sistemi mainframe. Oggi, dopo decenni di evoluzione, rappresentano il tallone d’Achille della cybersecurity. I numeri parlano chiaro: oltre il 60% degli utenti riutilizza le stesse credenziali su più servizi, il phishing e il credential stuffing rimangono i vettori di compromissione più diffusi, e la fatica da MFA (Multi-Factor Authentication) spinge molti a disabilitare protezioni fondamentali. Dal punto di vista offensivo, crackare una password debole o riutilizzata richiede secondi, non giorni. Il modello stesso è strutturalmente fragile: chiediamo alla memoria umana di custodire segreti crittografici complessi, un compito innaturale che genera errori, annotazioni insecure e abitudini pericolose.
La risposta del settore è l’autenticazione senza password. Standard come FIDO2/WebAuthn, implementati nei moderni passkey, cambiano radicalmente le regole del gioco. Invece di scambiare stringhe note all’utente, il dispositivo genera una coppia di chiavi asimmetriche: una privata, custodita in un ambiente sicuro (Secure Enclave, TPM o keystore hardware), e una pubblica, registrata dal fornitore del servizio. L’accesso viene autorizzato tramite sblocco biometrico o PIN locale, mai trasmesso in rete. Il risultato? Resistenza nativa al phishing, eliminazione dei database di password in chiaro e riduzione drastica della superficie d’attacco. Apple, Google e Microsoft ne hanno fatto il fulcro delle loro strategie, e i browser moderni li supportano in modo trasparente.
Eppure, parlare di “morte” delle password è prematuro. Milioni di sistemi legacy, piattaforme industriali, dispositivi IoT, applicazioni bancarie non aggiornate e infrastrutture critiche dipendono ancora da schemi username/password. La migrazione richiede investimenti, riprogettazione architetturale, gestione del fallback e standardizzazione cross-platform. Inoltre, la passwordless non è una bacchetta magica: se il dispositivo è compromesso, il secure enclave bypassato o il biometrico ingannato (con tecniche di spoofing o relay), il rischio persiste. La sicurezza non scompare, si sposta.
Dal mio laboratorio e dalle attività di penetration testing, osservo già come gli aggressori si adattino. Vedo campagne di social engineering che sfruttano la confusione sui passkey, tecniche di device pairing manipolato, e attacchi di tipo MFA fatigue sui metodi di fallback. La tecnologia avanza, ma la psicologia umana resta il vettore più sfruttato. Per questo, la transizione deve essere graduale, accompagnata da formazione continua e da una cultura della verifica, non della fiducia cieca.
Cosa fare oggi? Per gli utenti: abilitare i passkey dove disponibili, adottare un password manager affidabile per le credenziali residue, attivare autenticazione a più fattori basata su app o hardware token (mai SMS), e diffidare di qualsiasi richiesta di dati di accesso fuori dai flussi ufficiali. Per le organizzazioni: pianificare la migrazione a FIDO2, integrare autenticazione adattiva e risk-based, monitorare i log di accesso con comportamenti anomali, e trattare la sicurezza come processo ciclico, non come acquisto una tantum. Come ethical hacker, insisto sempre: testare in ambienti isolati, documentare le eccezioni, e preparare piani di risposta agli incidenti prima che servano.
Le password non sono morte, ma stanno morendo lentamente, sostituite da paradigmi più resilienti e centrati sulla crittografia asimmetrica. La vera sfida non è tecnologica, è culturale. Dovremo imparare a fidarci meno dei segreti memorizzati e più delle prove crittografiche verificabili, a progettare sistemi dove la sicurezza è invisibile ma solida, e a educare senza terrorizzare. Fino ad allora, resterò tra il terminale e la tastiera: a testare, a spiegare, a ricordare che ogni lock può essere aggirato, ma la consapevolezza è la chiave che non si può rubare.