Giornata mondiale della (autenticazione senza) password: perché non avremo più bisogno di password per proteggerci

Per decenni, le password sono state le colonne portanti della sicurezza in rete. L’accesso a ogni sistema, applicazione o dispositivo è perlopiù subordinato a una password. Ma le password rappresentano un problema e non possiamo continuare a farvi affidamento. Per questa Giornata mondiale della (autenticazione senza) password, abbiamo parlato con Alex Cox – esperto di sicurezza e di intelligence sulle minacce informatiche – e con David Turner – direttore senior presso FIDO Alliance per l’elaborazione di standard – di come e perché ci stiamo avviando verso un futuro senza password e del modo in cui le organizzazioni possono iniziare a risolvere il problema delle password.

Il problema delle password

Alla sua nascita, Internet non era dotato di password. Il fattore sicurezza subentrò in un secondo momento. Con l’evoluzione e la crescita della rete, presto sorse il bisogno di tutelare le informazioni e impedire a chiunque non fosse autorizzato di accedervi. Le cose col tempo non sono cambiate e, a tutt’oggi, il bisogno di un accesso sicuro resta un problema per Internet – ma di proporzioni decisamente più grandi. Un utente medio può arrivare ad avere anche più di 100 credenziali. Sebbene le pratiche consigliate richiedano password univoche per ogni account, nel mondo reale le cose con le password vanno in modo molto diverso. A fronte di un numero tanto elevato di password da ricordare, il personale imbocca scorciatoie per semplificarsi la vita. Ciò spiega perché le persone tendono a riutilizzare le password per più account o a usare delle varianti modificandole appena. Ne consegue che se uno dei loro account viene compromesso, allora tutti gli account protetti dalla stessa password risulteranno in pericolo. «I criminali informatici conoscono molto bene l’abitudine di riutilizzare le password.» – Alex Cox, direttore, sicurezza delle informazioni, LastPass Grazie all’ingegneria sociale, poi, il furto di password è diventato ancora più semplice. Gli hacker sanno che le persone tendono a usare elementi familiari o riferimenti della propria vita quando creano una password, quindi ne scandagliano le attività sui social o, in generale, nella rete per procurarsi tutte le informazioni necessarie. Se pubblicano foto dei loro amici a quattro zampe, per esempio, e ne usano il nome come password di protezione, la sicurezza dei loro account potrebbe avere i giorni contati. Il panorama delle minacce informatiche è in continua evoluzione, tanto che a volte anche gli esperti di cibersicurezza fanno fatica a riconoscere un attacco di phishing moderno, una delle tecniche di ingegneria sociale più diffuse. «Gli hacker non forzano l’accesso – lo eseguono.» – David Turner, direttore senior, elaborazione di standard, FIDO Alliance Quale sarebbe, quindi, la soluzione al problema delle password? Liberarsene del tutto!

Perché dovreste liberarvi dalle password?

L’autenticazione senza password è l’opzione di protezione più intelligente. Ma le imprese e gli utenti possono ricavarne vantaggi ancora più grandi. Infatti, se da un lato le organizzazioni possono implementare standard di sicurezza più rigorosi e garantire protezione a risorse, dati, utenti e clienti, riducendo così il livello complessivo di vulnerabilità, dall’altro possono trarne anche i seguenti vantaggi:

• Riduzione del tempo dedicato a gestire la sicurezza delle password, con conseguente riduzione del carico di responsabilità che grava sul personale informatico, dal momento che le operazioni di ripristino e gestione delle password richiedono una notevole quantità di tempo e risorse
• Ottimizzazione dei tempi e dei costi previsti per le attività educative e formative in materia di cibersicurezza
• Perfezionamento dell’esperienza di sicurezza sia per i reparti IT che per gli utenti finali (massima sicurezza con il minimo sforzo)
• Incremento della produttività, dovuto alla diminuzione del tempo sprecato a gestire le password ed effettuare l’accesso
• Miglioramento dell’esperienza utenti; secondo un sondaggio di Gartner, il 64% dei dipendenti intervistati ritiene che un mondo senza password semplificherebbe la gestione degli account e il 40% si sentirebbe sostanzialmente “più tranquillo”.

Il cammino verso un futuro senza password

Gli esperti concordano su un punto: le password non scompariranno dall’oggi al domani. Un’autenticazione che prescinda effettivamente dalle password per accedere a qualsiasi sito o applicazione da qualunque dispositivo o piattaforma attraverso lo standard FIDO2 è un traguardo che richiederà anni. Sarà un cammino difficile che richiederà sforzi congiunti di sostegno e sviluppo da parte di milioni di operatori del settore tecnologico. Ma l’autenticazione senza password rimane pur sempre un cammino che abbiamo già intrapreso. Le organizzazioni stanno già impiegando varie strategie per fare a meno delle password a ogni accesso oppure dell’autenticazione basata solo sulle password. Vediamone alcune!

• Gestori di password: sono soluzioni che possono ridurre il numero di password che un dipendente deve ricordare o creare a una soltanto – la password principale. Le nuove password vengono generate nel rispetto del livello minimo di sicurezza prestabilito e vengono salvate per offrire agli utenti un’esperienza di accesso ottimizzata.
• Single Sign-On (SSO): l’SSO permette di ridurre il numero di password richieste. Si tratta di una tecnologia che, sulla base di identità e ruoli, consente ai dipendenti o agli utenti autorizzati di accedere alle applicazioni usando un’unica combinazione di credenziali.
• Autenticazione a più fattori (MFA): l’MFA aggiunge un ulteriore livello di protezione alla sicurezza delle password. Si tratta di un punto di verifica delle identità digitali che precede l’autorizzazione all’accesso, consentendo effettivamente di autenticarsi senza password. Questo tipo di autenticazione può includere fattori quali: notifiche push inviate dalle app di autenticazione per dispositivi iOS e Android; biometria facciale, vocale e digitale; codici SMS; password monouso.
• Chiavi fisiche: una chiave di sicurezza, come una YubiKey, rappresenta un’altra forma di MFA. Si tratta di un componente hardware, come un dispositivo USB, che l’utente possiede e utilizza insieme allo smartphone o al computer portatile. Dal momento che esiste solo una chiave fisica per ogni utente, garantisce maggiore sicurezza all’accesso.
• Passkey: in base agli standard FIDO, le passkey vengono utilizzate in sostituzione delle password per consentire a un utente di accedere dai propri dispositivi a siti Web e applicazioni in modo più facile, veloce e sicuro. A differenza delle password, le passkey sono caratterizzate da un grado elevato di complessità e resistenza agli attacchi di phishing.

LastPass ha già intrapreso il suo viaggio verso l’autenticazione senza password. All’RSAC dello scorso anno, LastPass ha annunciato l’accesso senza password alla cassaforte sui dispositivi desktop tramite l’app LastPass Authenticator, con l’intenzione di ampliare le opzioni per autenticarsi senza password nel corso del 2023. Successivamente, LastPass consentirà agli utenti di accedere senza password alle postazioni di lavoro e metterà a loro disposizione ulteriori opzioni di accesso senza password conformi allo standard FIDO2, tra cui chiavi hardware (YubiKey) e software (biometria) per accedere alla propria cassaforte. Proseguendo in questa direzione, in futuro LastPass supporterà anche la creazione, la memorizzazione e la gestione di passkey. È arrivato il momento di lasciarsi le password alle spalle e creare un’esperienza digitale più sicura, confortevole ed efficiente. Per ulteriori informazioni sui vantaggi di una sicurezza indipendente dalle password – e su come potete intraprendere al più presto le modifiche necessarie per rendere la vostra organizzazione più sicura – iscrivetevi subito al webinar congiunto di LastPass e FIDO Alliance. Buona Giornata mondiale della (autenticazione senza) password a tutti!