La trasformazione digitale di ogni settore economico oggi alza il livello di attenzione sulla sicurezza dei propri dati. In uno scenario di rapido aumento dei cyber attacchi, in crescita del 29% nel 2023 secondo l’Acn, il World Password Day 2024 rappresenta, ancora una volta, un punto di riferimento fondamentale per tutti gli utenti del web.
Infatti, è un appuntamento dedicato a sottolineare e a ricordare l’importanza delle password come primo baluardo di difesa contro i cyber attacchi. Eppure, nonostante la crescente sensibilizzazione sul tema, le violazioni delle credenziali continuano a costituire una delle principali cyber minacce. La chiave per aprire la porta d’ingresso ai cyber criminali.
“Il World Password Day fu inventato da Intel nel 2013”, commenta Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit: “Ormai, dopo oltre un decennio, ci dovremmo aspettare che gli utenti del web abbiano imparato le regole per creare password sicure”. Ma purtroppo ancora non è così.
Dunque, è necessario adottare password robuste e sicure. Ecco consigli e best practice al fine di garantire la protezione dei propri dati personali nel sempre più interconnesso universo digitale.
Indice degli argomenti
World Password Day 2024: le regole per creare password robuste e sicure
Quando i confini tra il reale e il virtuale sfumano e i mondi si sovrappongono, la protezione dei dati personali e aziendali diventa un baluardo imprescindibile.
In questa complessa cornice, si riafferma l’importanza di una giornata dedicata a rafforzare la consapevolezza sulla necessità di salvaguardare le proprie credenziali d’accesso. Sono infatti le prime linee difensive del nostro io digitale.
Nonostante l’avvento di tecnologie biometriche avanzate e dei Passkeys, le password rimangono uno strumento primario di protezione. La loro gestione corretta ed efficace è un elemento chiave nella strategia di sicurezza informatica di individui ed organizzazioni.
“Le regole per creare password sicure sono sempre le stesse e piuttosto semplici“, sottolinea Sbaraglia, “password lunghe almeno 12 caratteri, complesse, con lettere maiuscole, minuscole, numeri, caratteri speciali. Inoltre, non devono essere parole di senso compiuto o contenenti informazioni personali o aziendali (per esempio il codice fiscale, una data di nascita o altre amenità)”.
Infine, occorre “soprattutto evitare di ripetere la stessa password in account diversi”, mette in guardia Sbaraglia, “questa è una delle regole più ovvie ma anche una delle meno rispettate. Secondo Microsoft il 73% delle password sono duplicate più volte“.
“Nella pratica, tutte queste regole sono corrette, ma totalmente inapplicabili”, avverte il consulente aziendale cyber security, membro del Comitato Direttivo Clusit, “l’essere umano non è fatto per ricordarsi decine o centinaia di password tutte diverse. Infatti, secondo recenti statistiche, ciascun utente del web ha mediamente circa 100 password da gestire, ed è impossibile ricordarle tutte“.
Ma infatti le password non si devono ricordare. “Nella mia attività di formazione”, continua Sbaraglia, “amo citare sempre questa frase del famoso Troy Hunt: ‘The only secure password is the one you can’t remember’ (letteralmente: l’unica password sicura è quella che non si può ricordare)”.
Ecco perché i password manager sono essenziali.
L’importanza delle password sicure: consigli e best practice
Le password, pur essendo il primo baluardo contro gli attacchi informatici, spesso vengono sottovalutate o gestite in maniera non ottimale, divenendo così il tallone d’Achille della nostra sicurezza digitale. Si consiglia l’uso di un gestore di password oltre all’attivazione dell’autenticazione a due fattori, ove possibile.
“Se l’unica password sicura è quella impossibile da ricordare, sembrerebbe dunque un problema senza soluzione”, mette in evidenza Sbaraglia.
“Invece, la soluzione esiste”, avvisa Sbaraglia: “E sono i password manager, applicazioni fatte apposta per conservare in modo sicuro e crittografato le centinaia di password che ci troviamo a dover gestire. Essi rappresentano ancora oggi il miglior compromesso tra sicurezza e praticità“.
Ma nessuna misura è infallibile. La formazione continua e l’aggiornamento sulle nuove minacce e tecniche di attacco sono imprescindibili. Infatti aiutano a mantenere un alto livello di protezione.
Una password robusta, infatti, non basta. La sua regolare modifica e l’uso combinato con altri metodi di verifica dell’identità (autenticazione a due fattori o multi-fattore) fanno la differenza nel tutelare i nostri dati.
I consigli per il World Password Day 2024: il futuro è passwordless
Nell’era digitale in cui viviamo, ogni giorno dovrebbe essere un World Password Day. Infatti non è solo una festività nel calendario tecnologico, bensì un monito che sottolinea l’importanza critica delle misure di sicurezza online.
L’attenzione e l’impegno nella creazione di queste chiavi digitali non dovrebbe mai scemare. I consigli e le best practice condivisi sono espressione di un approccio olistico alla sicurezza informatica.
Non bisogna solo scegliere combinazioni complesse. Ma occorre anche gestirle in modo responsabile ed evoluto. Il rispetto di queste linee guida potrebbe fare la differenza fra una navigazione pacifica e l’incubo della violazione dei propri dati personali o aziendali. Ricordiamoci, quindi, in occasione del World Password Day 2024 e per sempre, che una password sicura non è solo un dettaglio burocratico. Invece è un baluardo fondamentale nella difesa del nostro mondo digitale.
Anche dal recente rapporto Active Adversary di Sophos emerge che l’accesso remoto autorizzato continua ad essere una delle principali fasi d’esordio degli attacchi, inclusi gli attacchi ransomware. Nel 2023, per la prima volta, le credenziali compromesse hanno rappresentato la porta di accesso principale per attacchi cyber, provocando furto di dati ed attacchi ransomware. Oltre la metà (56%) degli attacchi analizzati hanno preso il via da una password finita nelle mani di cyber criminali (+26% nel 2023 rispetto al 2022). L’autenticazione a più fattori si conferma dunque una contromisura decisiva per proteggere da entrambe le minacce.
Nessuna misura è infallibile
Tuttavia, “limitarsi a parlare solo di password nel 2024 è sbagliato“, mette in guardia Giorgio Sbaraglia, “perché dobbiamo essere consapevoli che tutti i sistemi di autenticazione sono vulnerabili se basati solo sulla password”.
Per questo motivo, “diventa fondamentale – e assolutamente necessaria – l’autenticazione a più fattori, cioè la MFA (Multi-Factor Authentication)“, evidenzia Sbaraglia: “secondo Microsoft, la MFA riduce del 99,9% la probabilità che un account venga compromesso“.
Il futuro va verso un mondo senza password (“passwordless”). Si tratta di “un cambio di paradigma reso necessario dall’incapacità delle persone ad usare le password in modo sicuro”, avverte Sbaraglia.
“Proprio nel World Password Day di due anni fa (5 maggio 2022), Apple, Google e Microsoft hanno annunciato il progetto Passkeys, uno standard di accesso senza password (passwordless) creato da FIDO Alliance e dal World Wide Web Consortium (W3C)”, ricorda ancora Sbaraglia.
“La nuova funzionalità consentirà a siti web e app di offrire agli utenti un sistema di autenticazione senza password, utilizzando modalità di autenticazione biometrica attraverso tecniche di crittografia a chiave pubblica ed un autenticatore FIDO. Nella pratica sarà il nostro smartphone“, spiega ancora l’esperto.
Conclusioni
La transizione verso il mondo senza password è già avviata. “Oggi un buon numero di siti offrono già l’autenticazione con Passkeys, in alternativa alla password“, conclude Sbaraglia: “Ma perché questo sistema si diffonda in modo completo serviranno anni. Quindi ancora per un po’ di tempo dovremo convivere con le password. Cerchiamo di usarle bene con un buon password manager”.
Infatti, l’identità diventa nuovo perimetro di attacco, aprendo “opzioni differenti per proteggersi, riducendo notevolmente il rischio di compromissione di un account”, aggiunge Paolo Lossa, Country Sales Director di CyberArk Italia. “Eliminare le password rappresenta un modo più efficace per proteggere le identità degli utenti da attacchi phishing, keylogging e man-in-the-middle“, continua Lossa: “Eliminare la necessità di creare password complesse e aggiornarle frequentemente semplifica inoltre la user experience. L’autenticazione senza password, infine, può anche aumentare la produttività, rimuovendo la necessità di attività di supporto IT collegate, come il loro reset”.
Ma ci sono ostacoli che mettono i bastoni fra le ruote alle aziende di passare a un’autenticazione passwordless, conclude l’esperto di CyberArk Italia: “Gli ostacoli sono i sistemi legacy che richiedono password e la difficoltà nell’affrontare ambienti più grandi e complessi con migliaia di utenti, innumerevoli applicazioni, ambienti ibridi e multi-cloud e molteplici flussi di login. Un ruolo importante verso un mondo senza password può essere giocato dall’Identity and Access Management (IAM), con funzionalità quali l’autenticazione passwordless degli endpoint. Le aziende dovrebbero prendere in considerazione anche i passkey, un nuovo fattore di autenticazione senza password che sfrutta le capacità di sicurezza dei dispositivi stessi. I passkey sono a prova di phishing ed eliminano i vettori di attacco possibili con l’autenticazione tramite password”.
In attesa dell’affermazione dei Passkeys, il consiglio alle Pmi e agli utenti è di creare password forti. Inoltte occorre adottare l’autenticazione a più fattori ed effettuare un aggiornamento regolare delle password. Al contempo è necessario rafforzare la consapevolezza dei dipendenti attraverso la loro formazione e continuare a proteggere dispositivi e reti.
