Il futuro dell'accesso sicuro: dall'uso delle password ai passkey

Come mettere al sicuro i propri beni?

Quando si tratta di beni fisici, adottiamo istintivamente diverse soluzioni di sicurezza: casseforti, porte blindate, sistemi di allarme o cassette di sicurezza bancarie.

Quando invece parliamo di beni digitali, l'elenco delle misure adottate si riduce drasticamente. Spesso ci si affida a una semplice password, magari già utilizzata per altri servizi. Non abbiamo ancora sviluppato una piena consapevolezza del valore dei nostri dati digitali né dell'importanza di proteggerli adeguatamente.

In passato, nell'era iniziale della digitalizzazione, un semplice codice poteva essere sufficiente per garantire una protezione accettabile. Oggi, però, sappiamo che non basta più. Le password possono essere violate in molti modi: intercettate, rubate attraverso inganni, sottoposte a tentativi massivi con tecniche sofisticate o persino sottratte direttamente dai database delle piattaforme. Non è raro leggere di furti di credenziali che coinvolgono milioni di utenti.

Una volta ottenute, le credenziali rubate vengono sfruttate dai criminali informatici per causare danni considerevoli: effettuare acquisti non autorizzati, accedere a dati aziendali sensibili o prendere il controllo di interi sistemi informatici, chiedendo successivamente un riscatto per sbloccarli.

Due fattori per una sicurezza migliore

L’autenticazione a più fattori (MFA) rappresenta una soluzione efficace per migliorare la sicurezza dei processi di accesso. Oltre all’inserimento della password, l’MFA richiede una verifica aggiuntiva che dimostri il possesso di un oggetto personale, come uno smartphone con un’app dedicata o un token hardware.

Questo approccio è già ampiamente utilizzato nel settore del banking online, dove, accanto alla password, viene richiesta l’autenticazione tramite un’app sullo smartphone. Per un malintenzionato, anche conoscendo la password, l’assenza di accesso allo smartphone rappresenta una barriera difficile da superare. Da anni, i fornitori di servizi di pagamento sono tenuti per legge a implementare l’MFA. Con l’introduzione della direttiva europea NIS2 (Network and Information Security Directive), tale obbligo viene ora esteso a molte altre tipologie di aziende.

In ambito aziendale, l’utilizzo dell’MFA è fondamentale per garantire la sicurezza degli account con privilegi elevati e dell’accesso remoto utilizzato per la manutenzione. Questo sistema assicura che solo persone opportunamente identificate possano intervenire sulle configurazioni dei sistemi. In molti casi, in passato, la mancanza di misure di protezione adeguate per la manutenzione remota è stata sfruttata come vulnerabilità critica, consentendo l’accesso a cyberattacchi di portata devastante.

Il sovraccarico di password: come i gestori di password possono aiutare

Per anni, la regola d’oro per la gestione delle password è stata: una password complessa per ogni sistema, da non scrivere, da cambiare regolarmente e da memorizzare con cura. Tuttavia, con il numero crescente di piattaforme, diventa quasi impossibile gestire password sicure senza un valido supporto. I gestori di password offrono una soluzione, conservando tutte le credenziali in un archivio digitale sicuro e compilando automaticamente i campi di accesso quando necessario.

Questi strumenti permettono di creare password lunghe, complesse e casuali per ciascun account, semplificando non solo il rinnovo periodico, ma anche il controllo dell’utilizzo delle credenziali. Inoltre, automatizzano e semplificano il processo di aggiornamento delle password, riducendo il rischio di dimenticanze o di utilizzo di vecchie credenziali.

Nelle aziende, è spesso necessario consentire l’accesso a determinati sistemi a più persone. In questi casi, i gestori di password sono particolarmente utili, permettendo la condivisione sicura delle credenziali senza compromettere la protezione delle stesse.

È particolarmente importante gestire con molta attenzione la master password, poiché è l'unico mezzo per accedere al "banco" delle password. La sua perdita o il suo furto potrebbero avere conseguenze irreparabili. Per questo motivo, la master password deve essere custodita in modo sicuro, ma allo stesso tempo deve essere facilmente accessibile quando necessario.

Molti gestori di password operano come soluzioni basate su cloud, permettendo un accesso flessibile alle credenziali da qualsiasi dispositivo e luogo. In questo modo, il "banco" delle password viene conservato nel cloud. Sebbene questi strumenti siano dotati di misure di sicurezza avanzate, è importante notare che ci sono stati incidenti in cui i "banchi" di password nel cloud sono stati compromessi, con conseguenti furti di risorse digitali, come ad esempio crediti Bitcoin.

Il futuro senza password

A causa dei numerosi rischi associati all'uso delle password, sono stati sviluppati metodi di autenticazione che non le richiedono affatto. Nel sistema FIDO2, l’identificazione dell’utente avviene attraverso metodi crittografici, utilizzando una chiave di sicurezza fisica (token).

In questo caso, non ci sono password da ricordare: per un malintenzionato sarebbe necessario ottenere fisicamente il token per compromettere l'accesso. La sicurezza si basa su chiavi crittografiche uniche, strettamente legate all’hardware, che rendono molto più difficile il furto delle credenziali.

FIDO2 è attualmente considerato il metodo di autenticazione più sicuro. Nonostante sia disponibile da tempo, non ha ancora visto una diffusione su larga scala. Questo è principalmente dovuto al fatto che molte piattaforme non supportano ancora questa tecnologia e alla necessità di portare con sé un token aggiuntivo, il che lo rende poco pratico e costoso.

Comodo e sicuro: i Passkey

Le principali aziende tecnologiche, come Microsoft, Google e Apple, hanno sviluppato una versione più pratica, sebbene leggermente meno sicura, del sistema FIDO2: i Passkey, destinati a sostituire le password in futuro. In questo nuovo sistema, le chiavi crittografiche non sono più legate a un token fisico, ma possono essere trasferite in modo sicuro tra dispositivi, con la possibilità di sincronizzarle anche nel cloud.

Non è più necessario un dispositivo separato per la sicurezza, poiché ora bastano lo smartphone o il PC, che già integrano un chip di sicurezza (TPM – Trusted Platform Module). L'autenticazione avviene tramite i Passkey memorizzati su questi dispositivi, che utilizziamo ogni giorno. Ad esempio, è possibile accedere a una piattaforma su un PC esterno semplicemente utilizzando il Passkey del proprio smartphone, senza dover inserire alcuna password.

Nel contesto di Microsoft 365, questo sistema di autenticazione senza password è stato così perfezionato da rendere possibile la rimozione definitiva della password dall'account Active Directory o Entra ID. E, poiché la password non esiste più, non c'è nemmeno il rischio che venga rubata.

Prospettive future

La direzione è ormai tracciata: l’adozione dei Passkey sicuri è in crescita, ma le password rimarranno con noi ancora per un po’. È quindi fondamentale continuare a educare gli utenti sull’importanza di utilizzare correttamente le password e, soprattutto, di fare attenzione ai pericoli del phishing.

Oggi la sicurezza delle password dipende principalmente dalla loro lunghezza; la complessità e il rinnovo periodico hanno perso rilevanza in termini di protezione.

Nel frattempo, poiché la quantità di password continuerà ad aumentare nel breve periodo, i password manager si confermano uno strumento indispensabile per garantire una gestione sicura ed efficiente delle credenziali.