Giornata mondiale della password: la storia delle password

È tempo di cambiamento! Invece di celebrare la Giornata mondiale della password come facciamo di solito, quest’anno noi di LastPass abbiamo deciso di volgere lo sguardo a un futuro senza password con la Giornata mondiale della (autenticazione senza) password. Mentre ci prepariamo a lasciarci le password alle spalle, ci sembra opportuno riflettere sulla loro ricca storia. Ecco un breve resoconto di come le password per computer sono nate, come abbiamo iniziato a usarle per proteggere le nostre vite digitali e come ci proteggono oggi dalle minacce informatiche.

Gli anni ’60

Nello stesso periodo in cui erano in corso i preparativi della NASA per il programma Apollo, che avrebbe portato l’uomo a fare il primo passo sulla luna, al MIT Fernando Corbató stava creando i primi account utente protetti da password. Usando le rispettive combinazioni nome utente/password per accedere al sistema CTSS che lui aveva contribuito a sviluppare, le persone potevano gestire i propri gruppi di file da console che erano collegate al mainframe dell’università. Nonostante le falle di sicurezza alla base di questo rudimentale meccanismo di autenticazione basata sull’utente, condizionò il modo in cui fanatici del computer e gente comune avrebbero pensato alle password per i decenni successivi.

Gli anni ’70

La sicurezza delle password fece un passo avanti nel 1972, quando il crittografo Robert Morris sviluppò il processo di hashing, un processo crittografico che traduce le password in numeri. Più tardi nel corso dello stesso decennio, Morris e il collega Ken Thompson unirono le forze per creare una tecnica complementare, nota come processo di salting, con cui vengono aggiunte stringhe casuali a una password memorizzata per renderla più difficile da violare. Entrambi i processi sono tuttora ampiamente utilizzati. Sono due tra le migliori prassi, infatti, di cui LastPass si avvale per garantire protezione alla password principale di ogni utente.

Gli anni ’90-2000

Man mano che Internet diventava sempre più rilevante nella vita di tutti i giorni, diventò necessario sviluppare protocolli di autenticazione più sicuri. AT&T sostiene di aver inventato l’autenticazione a due fattori (2FA) nel 1995, una tecnologia per la quale la società ricevette un brevetto nel 1998. Sebbene inizialmente fosse una soluzione di nicchia, questo tipo di autenticazione oggi è molto diffusa. Con ogni probabilità, la state già usando per accedere a uno o più account online. Quando sfruttate il 2FA, il sistema vi richiede un ulteriore forma (o fattore) di autenticazione – come un codice monouso temporaneo – che comprovi la vostra identità. È possibile ricevere questo fattore aggiuntivo da vari canali, tra cui SMS, e-mail e app di autenticazione. Dopo averlo ricevuto, basta inserirlo nel prompt di autenticazione e, se tutto va a buon fine, il sistema vi autorizza ad accedere. Il 2FA e il suo successore, l’autenticazione a più fattori (MFA), hanno assunto un’importanza via via crescente negli anni 2000, quando le aziende hanno iniziato ad abbracciare politiche a supporto del BYOD, autorizzando i dipendenti a usare i propri dispositivi personali per lavorare.

Gli anni 2010

Andando avanti nel tempo fino agli anni 2010, troviamo le app per dispositivi mobili che cominciano a imporsi nella vita di tutti i giorni, per cui rafforzare la sicurezza delle password è diventata una questione ancora più cruciale. Il 2FA si è concretamente evoluto nell’MFA, una tecnologia che richiede a chi tenta di accedere a un account di fornire molteplici fattori di autenticazione in aggiunta alla solita combinazione nome utente/password. I professionisti che operano nell’ambito della sicurezza informatica descrivono questi fattori aggiuntivi come:

• qualcosa che conoscete (come la vostra password);
• qualcosa che possedete (come il telefono, un token MFA o una smart card);
• qualcosa che vi caratterizza (dati biometrici, come il volto, la voce o l’impronta digitale).

Più le violazioni di dati salivano agli onori della cronaca, più tecnologie consigliate come il 2FA e l’MFA sono diventate diffuse. A differenza delle credenziali di accesso, che potevano essere violate e messe apertamente in vendita sul Web oscuro senza che il legittimo proprietario lo venisse a sapere, i token 2FA ed MFA rendevano la vita più difficile agli hacker. L’MFA rappresenta ancora una forma di protezione particolarmente importante, soprattutto per chi riutilizza la stessa password per più account (una pratica tuttora diffusa tra il 62% delle persone, secondo il rapporto sulla psicologia delle password del 2022). Se un criminale informatico tentasse di spacciarsi per voi per accedere a un account su cui risulta attivo l’MFA, un sistema di allarme preventivo vi informerebbe che è in corso qualcosa di sospetto, consentendovi di avvisare i colleghi del reparto IT e prendere provvedimenti per proteggere sia voi che la vostra azienda.

Gli anni 2020

Nel decennio in corso, gli incidenti di violazione si sono fatti più frequenti, i criminali informatici sono diventati più audaci e le persone comuni hanno iniziato a comprendere meglio i rischi cui vanno incontro mettendo la sicurezza delle password in secondo piano. Quando molti dipendenti hanno dovuto abbracciare il lavoro agile nelle fasi iniziali della pandemia, le loro vite digitali hanno cominciare a crescere e la criminalità informatica ha colto l’opportunità per arrecare danni su una scala ancora più ampia. Nei decenni precedenti, una password di otto caratteri composta da una combinazione di lettere maiuscole e minuscole, numeri e simboli era considerata sufficiente per proteggere un account in rete. Ma negli anni 2020, tutto è cambiato e, per proteggersi, i dipendenti hanno iniziato a usare password più lunghe e complesse (richieste, in molti casi, dagli stessi reparti informatici). Queste password, considerate più difficili da violare, sono composte da un numero di caratteri compreso tra 12 e 18. Anche seguendo le procedure consigliate, però, le persone hanno dovuto affrontare un nuovo problema: dal momento che il numero di account e di password era cresciuto notevolmente, la loro gestione diventava ancora più complicata ora che le password erano più difficili da ricordare. Per questo motivo, sia le imprese sia gli utenti che conoscono bene le problematiche inerenti alla sicurezza informatica hanno iniziato ad adottare gestori di password per memorizzare le credenziali in modo sicuro.

Preparatevi a un futuro senza password

Le password ci hanno accompagnato in ogni tappa di questo nostro cammino nell’era digitale, adattandosi continuamente per rispondere a requisiti di cibersicurezza sempre più avanzati. Per quanto possa sembrarci strano immaginare un tempo in cui le password spariranno, quel giorno si fa sempre più vicino. Secondo le previsioni di Gartner, oltre il 50% della forza lavoro smetterà di usare le password entro il 2025. Mentre celebriamo la Giornata mondiale della (autenticazione senza) password, non c’è occasione migliore per cominciare a prepararci a un futuro in cui non ci saranno più password. Provate l’autenticazione senza password gratuitamente usando l’app LastPass Authenticator. Se desiderate saperne di più su come ottenere maggiore sicurezza con l’autenticazione senza password, partecipate al nostro webinar del 4 maggio. Prenotate subito un posto!