Ieri era il primo maggio, ma non tutti sanno che era anche la Giornata Mondiale delle Password. Molti hanno voluto dire qualcosa in proposito, compresa l'Associazione Italiana per la Sicurezza Informatica Clusit, che ha lanciato un appello: abbandonare le password.
Il problema è che il meccanismo login/passwrod è ormai obsoleto; anzi, era obsoleto anni fa, ma non siamo ancora riusciti a far sì che i sistemi alternativi si diffondano come dovrebbero.
I problemi d’altra parte sono sempre gli stessi: la maggior parte delle persone usa password troppo semplici e tende a ripetere sempre le stesse parole sicure. Pochissimi usano un password manager, e ancora meno lo usano nel migliore dei modi.
Il risultato è un sistema facile da violare, specialmente con l'ausilio di strumenti automatizzati e intelligenza artificiale. Non serve essere hacker esperti, poi, per comprare liste di dati rubati - migliaia di voci che possono costare poche centinaia di euro.
Serve un cambio di paradigma nelle strategie di autenticazione digitale. Ignorare questa necessità equivale a sottovalutare la protezione dell'identità digitale e la continuità operativa.
I soliti vecchi problemi
L'associazione Clusit stima che circa l'80% delle violazioni informatiche derivi proprio da password deboli o riutilizzate. Questa cattiva abitudine, spesso dettata dalla difficoltà di memorizzare decine di credenziali complesse, spalanca le porte ad attacchi come il credential stuffing. Questa tecnica sfrutta bot per testare sistematicamente credenziali rubate (spesso provenienti da data breach e disponibili sul dark web) su un gran numero di siti, fino a trovare una corrispondenza funzionante. Un attacco facile ed economico da realizzare, che ogni tanto permette di mettere a segno un buon colpo.
Anche le policy che impongono complessità (maiuscole, minuscole, numeri, simboli) spesso portano gli utenti a creare password mnemonicamente difficili ma basate su pattern prevedibili (es. sostituzioni comuni come '@' per 'a', '3' per 'E', aggiunta di anni o stagioni), facilmente individuabili dagli algoritmi. Il risultato è che la robustezza teorica fallisce nella pratica quotidiana.
Dopodiché, usare password complesse potrebbe non bastare. Da una parte i sistemi AI rendono l’operazione un po’ più semplice e un po’ meno costosa, e dall’altra l’hardware necessario è relativamente accessibile. La potenza di calcolo è infatti sempre più accessibile ed economica, il che rende gli attacchi brute force un’opzione praticabile.
Infine ma non meno importante, spesso e volentieri siamo noi stessi a regalare i dati a criminali, quando cadiamo nel phishing o altre trappole online. Un tipi di attacco contro cui - è importante sottolinearlo - gli strumenti tecnici non servono praticamente a nulla.
L'ultimo rapporto Clusit evidenzia una crescita del 35% per questo tipo di attacchi in Italia nell'ultimo anno, sottolineando come il fattore umano resti un anello debole.
Una volta che un criminale riesce a impossessarsi di login e password avrà accesso ad uno o più sistemi; a volte non è niente di grave, ma spesso le conseguenze possono essere molto gravi.
L’accesso multifattore (MFA)
La risposta a questa crescente vulnerabilità risiede nell'adozione di metodi di autenticazione più robusti, in particolare l'Autenticazione Multi-Fattore (MFA). L'MFA richiede all'utente di fornire due o più prove della propria identità per accedere a un account o a un'applicazione. Questi fattori appartengono tipicamente a tre categorie: qualcosa che l'utente sa (come una password o un PIN, che però nell'MFA diventa solo uno dei fattori), qualcosa che l'utente possiede (come uno smartphone su cui ricevere un codice, un token hardware USB, una smart card), e qualcosa che l'utente è (un tratto biometrico). L'efficacia dell'MFA è notevole: si stima che possa bloccare oltre il 99% degli attacchi basati sulla compromissione delle credenziali. Anche se un attaccante riuscisse a rubare la password, avrebbe comunque bisogno di superare almeno un altro ostacolo.
Esistono diverse modalità per implementare l'MFA. Tra le più comuni vi sono le app di autenticazione (come Google Authenticator o Microsoft Authenticator) che generano codici a tempo (TOTP), i codici monouso inviati via SMS o email (considerati leggermente meno sicuri a causa del rischio di SIM swapping), le notifiche push su dispositivi registrati da approvare con un tocco, e i token di sicurezza hardware (come le chiavi YubiKey) che implementano standard aperti come FIDO2/WebAuthn. Diverse piattaforme e fornitori di servizi cloud, come Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform, offrono e incoraggiano fortemente l'uso dell'MFA per proteggere gli accessi ai propri ambienti.
Parallelamente all'MFA, l'autenticazione biometrica si sta affermando come un metodo sicuro e intuitivo. Sfruttando caratteristiche fisiologiche o comportamentali uniche dell'individuo – come impronte digitali, riconoscimento facciale, scansione dell'iride o della retina, riconoscimento vocale o persino la dinamica di battitura sulla tastiera – la biometria offre un'alternativa o un complemento efficace alle password.
La sua facilità d'uso è un vantaggio innegabile: sbloccare uno smartphone o autorizzare un pagamento con un'impronta digitale o uno sguardo è diventato un gesto quotidiano per milioni di persone, grazie all'integrazione di sensori biometrici in dispositivi prodotti da aziende come Apple, Samsung e Google.
Tuttavia, anche la biometria presenta sfide. La principale è garantire che il dato biometrico presentato sia autentico e provenga dalla persona fisica presente in quel momento, e non da una sua riproduzione (una foto, un video, una maschera 3D). Qui entra in gioco la tecnologia di liveness detection (rilevamento della vitalità). Questi sistemi utilizzano algoritmi avanzati, spesso basati su IA, per analizzare micro-movimenti, texture della pelle, riflessi oculari o richiedere all'utente piccole azioni (come girare la testa o ammiccare) per assicurarsi che si tratti di una persona reale e non di un tentativo di spoofing. Un altro aspetto critico riguarda la protezione dei dati biometrici: essendo immutabili, se compromessi non possono essere semplicemente "cambiati" come una password. Devono quindi essere archiviati e gestiti con tecniche crittografiche estremamente robuste.
Per situazioni critiche i sistemi biometrici forse non sono i più raccomandabili, ma lo sono senza dubbio per la maggior parte delle persone nella vita quotidiana.
Igiene informatica e utenti
Al di là dell'adozione specifica di MFA e biometria, è fondamentale coltivare una solida "igiene informatica" a tutti i livelli aziendali. Questo include l'uso, ove le password siano ancora necessarie come fattore, di password manager affidabili. Strumenti forniti da aziende come 1Password, Dashlane o Keeper Security aiutano a generare, memorizzare e compilare automaticamente password lunghe, complesse e soprattutto uniche per ogni servizio, eliminando il rischio legato al riutilizzo.
Un altro pilastro dell'igiene informatica è la formazione continua degli utenti sulla consapevolezza dei rischi, in particolare riguardo al phishing e all'ingegneria sociale. Riconoscere email sospette, link fraudolenti o richieste insolite di informazioni è una difesa cruciale.
In azienda, non è sufficiente “spiegarlo una volta”; bisogna tornare sul tema di tanto in tanto, e tenere alta l’allerta con degli attacchi simulati. Fare il possibile, cioè, per assicurarsi che i collaboratori siano resilienti e non cedano dati sensibili - o direttamente denaro - ai criminali.
A proposito di utenti, è importante anche una policy di accesso ben fatta, che dia a ogni persona solo il minimo dei privilegi di cui ha bisogno. Potrebbe essere scomodo in certi scenari, ma se serve per mettersi al sicuro, è un fastidio che vale la pena di avere.
L'adozione di soluzioni di Endpoint Detection and Response (EDR) può aiutare a identificare e bloccare malware, inclusi gli infostealer che mirano a rubare credenziali.
Addio password, benvenuto passkey
Il futuro dell'autenticazione si muove sempre più verso modelli passwordless, ovvero senza password. Tecnologie come le passkey, basate sugli standard FIDO, ne sono un esempio concreto.
Una passkey sostituisce la password con una coppia di chiavi crittografiche: una chiave pubblica registrata sul server del servizio online e una chiave privata memorizzata in modo sicuro sul dispositivo dell'utente (protetta da PIN o biometria). Durante l'accesso, il dispositivo dimostra di possedere la chiave privata senza rivelarla (crittografia asimmetrica), rendendo il processo resistente al phishing e eliminando la necessità di password memorizzate sul server. Grandi attori come Apple, Google e Microsoft stanno spingendo fortemente sull'adozione delle passkey.
Questo approccio è un mattone fondamentale per realizzare architetture di sicurezza Zero Trust, dove l'accesso non è mai dato per scontato e ogni richiesta viene verificata, indipendentemente dalla provenienza. Quel “zero trust” in inglese sta a significare proprio che l’elemento fiducia è eliminato da ogni passaggio, grazie a meccanismi di controllo continuo.
Soluzioni come l'autenticazione multifattore e la biometria, supportate da una robusta igiene informatica e dall'evoluzione verso sistemi passwordless, rappresentano gli strumenti fondamentali per navigare in un panorama di minacce in continua evoluzione. Considerarle come la nuova normalità per l'autenticazione è il passo essenziale per costruire un ambiente digitale più sicuro.