L’uso delle password risale all’antichità e sembra essersi fortemente radicato nei tempi moderni, anche se gli esperti di sicurezza informatica da tempo ne chiedono l’eliminazione, perché con l’aiuto della tecnologia moderna, l’umanità ha il potenziale per andare oltre le password e passare a un mondo di metodi di autenticazione più semplici e sicuri.
Le password hanno resistito a lungo perché, in apparenza, sembrano semplici e oggi tutti gli utenti online sanno come usarle. Inoltre, non c’è mai stata una pratica alternativa scalabile. Ma le cose stanno cambiando. Sia le aziende sia i consumatori hanno oggi la possibilità di accedere ai propri dispositivi con indicatori biometrici, chiavi fisiche, app di autenticazione, e da qualche tempo anche passkeys, che sostituiscono le password con chiavi crittografiche. Queste sono basate su protocolli e standard creati dalla FIDO Alliance, introdotte da Apple con iOS 16 nel 2022 e supportate da Google, che nel 2023 le ha implementate su tutte le principali piattaforme.
Le passkeys offrono un’esperienza utente migliore rispetto alle password, eliminando al contempo le possibilità di password deboli, riutilizzate e compromesse, nonché gli attacchi di phishing, ma la tecnologia deve ancora essere integrata in molte applicazioni e siti web, quindi non è la risposta a tutti i problemi di password, ma nel frattempo, i password manager possono aiutare a ricordare lunghe stringhe di caratteri, e a tenerle al sicuro.
Come alternativa, anche l’autenticazione biometrica offre un’esperienza più sicura e intuitiva, riducendo l’impatto delle violazioni e delle frodi online: l’uso della biometria al momento della creazione dell’account e su base continuativa non solo offre una migliore protezione contro le frodi di acquisizione dell’account, ma elimina anche la necessità di ricordare password complesse e di avviare il reset delle password, che tutti – giustamente – trovano fastidioso.
“Con l’identità come nuovo perimetro di attacco”, ricorda Paolo Lossa, Country Sales Director di CyberArk Italia, “si aprono opzioni differenti per proteggersi, riducendo notevolmente il rischio di compromissione di un account. Eliminare le password rappresenta un modo più efficace per proteggere le identità degli utenti da attacchi phishing, keylogging e man-in-the-middle, e semplifica inoltre la user experience”.
Forse è più facile a dirsi che a farsi, ma è tempo che il ‘World Password Day’, creato da Intel nel 2013 e che quest’anno cade il 2 maggio (il primo giovedì del mese), non si limiti a ricordare di controllare con attenzione i propri accessi e di assicurarsi che siano in regola con le norme di sicurezza, ma spinga davvero per una graduale ma totale scomparsa delle password. Perché non sono soltanto impossibili da ricordare a mente – se concepite correttamente – ma rappresentano il lascito di un tempo passato che, sorprendentemente, continua ad essere utilizzato nel quotidiano.
Una buona regole è usare sempre e comunque la 2FA, la Two-Factors-Authentication: ove la password venisse compromessa da un hacker, un secondo livello di autennticazione proteggerà molto bene l’utente. L’autenticazione a due fattori, chiamata anche Multifactors Authentication , è utilizzata da un numero crescente di siti, banche in primo luogo che devono ottemperare alle prescrizioni della UE.
“I cybercriminali stanno ottenendo successo con le campagne di phishing delle credenziali sempre più avanzate“, sottolinea infatti Luca Maiocchi, Country Manager di Proofpoint, “utilizzando falsi siti web simili alla pagina di accesso di un servizio online legittimo per rubare nomi utente e password. Il nostro consiglio è quello di attivare l’autenticazione a più fattori (MFA), se disponibile, per il maggior numero possibile di account”.
Il Cyber Security Centre del Regno Unito dichiara inoltre che il modo migliore per rendere la password difficile da violare è utilizzare una sequenza di tre parole casuali. “Più lunga è, meglio è”, si legge in un comunicato. “È possibile renderla ancora più forte includendo caratteri speciali e numeri“, utilizzando sempre l’autenticazione a due fattori e impiegando password uniche per gli account più importanti, quali quelli di posta elettronica, banca e social media.
“In un’epoca di cyberattacchi assistiti dall’intelligenza artificiale, la Giornata mondiale della password deve diventare la Giornata mondiale senza password“, conclude Stuart Wells, Responsabile Tecnologico di Jumio. “La password ha purtroppo superato la sua utilità e abbiamo bisogno di modi più efficaci per proteggerci online”.