Il futuro potrebbe essere passwordless, ovvero senza password. Allo scorso World Password Day, l’iniziativa organizzata da Intel per promuovere la sicurezza informatica, i giganti tech Apple, Google e Microsoft hanno annunciato che stanno lavorando allo sviluppo di FIDO (Fast Identity Online), un sistema di autenticazione privo di password.
Il nuovo standard dovrebbe garantire maggiore sicurezza online, offrendo un livello di protezione superiore rispetto al classico accesso con nome utente e password. Secondo il World Economic Forum, infatti, 8 violazioni su 10 dei dati aziendali sono causate dalla scelta di password deboli, mentre secondo l’azienda specializzata in software antivirus Avast il 90% delle password utilizzate oggi sono vulnerabili.
Le tecnologie in fase di studio prevedono l’utilizzo di software che generano due chiavi, una privata conservata nel dispositivo usato dall’utente per il login (smartphone, notebook), una pubblica custodita dal sito web o dall’applicazione alla quale accedere.
Al momento del login il dispositivo deve autenticarsi dimostrando di avere la chiave privata, ad esempio utilizzando il riconoscimento biometrico delle impronte digitali o del volto per sbloccare la chiave privata.
I problemi delle password e le soluzioni disponibili
Naturalmente, le aziende che stanno lavorando in questa direzione sono consapevoli che ci vorrà ancora molto tempo per superare gli attuali standard di autenticazione.
Il problema delle password è che spesso sono facili da individuare per un malintenzionato, ad esempio perché si utilizza lo stesso codice per diversi account, oppure a causa della bassa complessità della password adoperata.
Ad ogni modo, oggi esistono già delle soluzioni in grado di aumentare la sicurezza delle password e semplificarne la gestione, infatti tutte le tecnologie passwordless in fase di sviluppo sono simili ai moderni password manager. Un gestore delle password, ad esempio, permette di usufruire di una cassaforte digitale dove memorizzare e criptare le proprie credenziali di accesso, dopodiché basta installare l’app nel proprio dispositivo e usare un unico sistema di autenticazione forte per l’accesso.
Per migliorare la sicurezza queste app consentono di attivare l’autenticazione a più fattori, per tutelare la master password con token di sicurezza, app di autenticazione e codici di backup. Inoltre, la versione Premium di questo gestore di password avanzato offre ulteriori funzionalità, come il generatore di password complesse e univoche, l’avviso quando si utilizzano password deboli o datate e la scansione del web per trovare eventuali fughe di dati che potrebbero causare un rischio per la sicurezza.
Con un password manager si evita anche una procedura molto rischiosa, ovvero la reimpostazione delle credenziali di accesso dimenticate. Il reset della password, infatti, non solo è un’operazione complessa e lunga che rende meno agevole l’utilizzo dei servizi online, ma è anche una procedura spesso inutile e poco efficiente, che espone l’utente a maggiori rischi di subire un furto dei dati sensibili. Basti pensare al pericolo di essere reindirizzati su una pagina web fake, aperta da un malware installato in modo inconsapevole nel proprio dispositivo.
Aumentano gli attacchi malware e ransomware: come proteggersi?
Come riportato da la Repubblica, analizzando il report di Trend Micro relativo al 2021 è possibile constatare come gli attacchi informatici nel mondo siano in costante aumento, con l’Italia che ha chiuso l’anno posizionandosi al primo posto in Europa per attacchi malware e al quarto nel mondo.
Tra le aziende più colpite ci sono le pubbliche amministrazioni, le imprese della sanità, le società tecnologiche, le industrie manifatturiere e le organizzazioni del settore banking. Anche per quanto riguarda i ransomware, a maggio l’Italia è stato il Paese più colpito in Europa e il sesto a livello globale.
Per tutelarsi è indispensabile prestare maggiore attenzione nella scelta e nella gestione delle password, in attesa di un futuro in cui questo sistema di autenticazione verrà completamente superato e soppiantato da procedure più sofisticate e sicure. Innanzitutto è necessario usare sempre l’autenticazione a più fattori, sfruttando meccanismi con più livelli di sicurezza che includono anche password OTP (One Time Password), anche note come password o usa getta, ma soprattutto la biometria (riconoscimento vocale, facciale, digitale).
Chi invece non utilizza un gestore di password avanzato deve necessariamente scegliere codici complessi e differenti per ogni account. Ad esempio, una password difficile deve essere lunga, contenere lettere maiuscole e minuscole, numeri e caratteri speciali, senza nessun riferimento a nomi, date e altre informazioni che possono essere carpite sul web o i social. Naturalmente, usare decine di password troppo complesse non è fattibile nella maggior parte delle circostanze, perciò è opportuno ricorrere a un password manager.
Intanto aziende come l’americana Stytch stanno eliminando tutte le password, con la compagnia che è convinta che l’unica soluzione per la sicurezza online sia rimuovere del tutto le password, ma consapevole che sia necessario farlo gradualmente attraverso soluzioni intermedie.
Aspettando lo sviluppo di nuove tecnologie più efficienti nel login, è importante non trascurare il problema della sicurezza informatica, considerando che un solo pc aziendale compromesso può consentire agli hacker il controllo dell’intera infrastruttura informatica dell’impresa, inoltre anche a livello personale una password compromessa rischia di causare danni economici e morali ingenti, tenendo conto che oggi dentro uno smartphone è racchiusa tutta la nostra vita.
Contenuto redazionale
