sfide sicurezza

Quando Apple presentò il Touch ID, il sistema di autenticazione con l’impronta digitale, lo descrisse come rapido e sicuro. C’era un solo problema: il Touch ID richiedeva di autenticarsi con una password.

Quindi all’accensione del telefono bisognava mettere una password, per poi usare il Touch ID. Stessa cosa per il Face ID. Ma se questi sistemi sono realmente sicuri, perché bisogna sempre passare da una password di base?

È vero, il Face ID, come il Touch ID, rendono le operazioni di accesso più veloci una volta impostate, ma resta in vigore il passaggio della password iniziale che ruba tempo. Questo è solo un esempio di come la ricerca di maggiore sicurezza stia degradando l’esperienza utente.

Si aggiungono ostacoli per gli hacker, ma ci si dimentica che quegli ostacoli sono presenti anche per gli utenti. Così, se un tempo bastava un codice da 4 cifre, ora bisogna fare i conti con password, codici monouso, abilitazioni di autenticazione e token di accesso che durano sempre meno.

Come venivano gestite le password anni fa

Le password hanno una lunga storia che risale all’antica Grecia, quando l’esercito romano utilizzava una “parola d’ordine” scritta su una tavoletta di legno per distinguere amici da nemici. Tuttavia, l’uso delle password nei sistemi informatici moderni ha avuto inizio negli anni ’60 con il sistema CTSS del MIT, che le implementava per consentire agli utenti di mantenere privati i propri file.

Negli anni successivi, la popolarità delle password è aumentata, alimentata anche da famosi film come WarGames, Mission: Impossible e The Matrix Reloaded. Tuttavia, le password deboli e insicure rappresentano una grave vulnerabilità per la sicurezza informatica.

Si stima che 23 milioni di persone utilizzino “123456” come password a livello globale, rendendo i loro account facilmente accessibili.

Le caratteristiche di una password sicura includono:

  • Complessità: combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali.
  • Lunghezza: almeno 8-12 caratteri, se non di più.
  • Varietà di caratteri: evitare sequenze di caratteri facilmente individuabili.
  • Evitare informazioni personali: come nomi, date di nascita, ecc.

Le minacce alla cybersicurezza derivanti da password deboli includono accessi non autorizzati, attacchi di forza bruta e tecniche di phishing e social engineering.

Per mitigare questi rischi, le best practice includono l’utilizzo di password uniche per ogni account, l’impiego di un password manager, la modifica regolare delle password e l’abilitazione dell’autenticazione a due fattori (2FA) quando possibile.

Operazioni che tendono a scoraggiare gli hacker, ma che a volta scoraggiano gli stessi utenti.

Dall’introduzione del doppio fattore alla scadenza dei token di autenticazione

L’autenticazione a due fattori (2FA) è diventata sempre più importante per garantire un accesso sicuro a vari servizi online, dalle operazioni bancarie alla posta elettronica. Questo perché le superfici di attacco si sono espanse e gli attacchi, come il phishing e le tecniche di forza bruta, sono diventati più efficaci e pericolosi, compromettendo le tradizionali credenziali di nome utente e password.

I due metodi più comuni di 

  • One-Time Password (OTP): Un codice di accesso monouso generato da un’app o inviato al dispositivo mobile dell’utente.
  • PKI (Public Key Infrastructure): Utilizza crittografia a chiave pubblica e privata per l’autenticazione.

Non esiste un metodo di autenticazione “migliore” in assoluto, poiché la scelta dipende da fattori come il livello di sicurezza richiesto, i costi e l’usabilità.

Migliorare la sicurezza dei sistemi informativi e proteggere le identità online attraverso un’autenticazione forte sta diventando cruciale nell’era digitale.

L’autenticazione basata su token è un protocollo in cui gli utenti verificano la propria identità in cambio di un token di accesso univoco. Possono quindi accedere al sito web, all’app o alla risorsa per tutta la durata del token senza reinserire le credenziali. I vantaggi includono un’esperienza utente agevole, maggiore sicurezza digitale, maggiore controllo amministrativo e minore onere tecnologico.

I token possono essere di tipo hardware (dispositivi fisici) o software (app mobili, token web JSON). L’implementazione prevede:

  1. Richiesta di credenziali
  2. Verifica da parte del server
  3. Invio del token
  4. Archiviazione del token
  5. Scadenza del token

I token di accesso hanno una scadenza, ma i token di aggiornamento possono essere utilizzati per ottenere nuovi token di accesso senza l’intervento dell’utente.

Ora, per evitare che un hacker entri in un sistema e ci stia per troppo tempo, sono previste delle scadenze a questi token. Il risultato? Se prima bastava accedere a un sito e ritrovarsi loggati ogni volta che si entrava, ora bisogna ripetere l’autenticazione ogni volta. Anche se, per esempio, si accede a quel sito più volte al giorno.

Quindi se prima bastava una password, ora l’esperienza utente prevede, più volte al giorno, di inserire una password e generare un codice monouso dal dispositivo. Con scenari estremi per quelle app, come Microsoft Authenticator che in alcune configurazioni richiede di inserire nell’app il numero che appare sullo schermo. Ovviamente dopo aver effettuato l’accesso nell’app stessa, quindi dopo aver superato un ulteriore passaggio di autenticazione.

Situazioni che moltiplicate per il numero di app e servizi, sta generando non poche frustrazioni per gli utenti. Basti pensare a tutte quelle volte che si utilizzano delle app nell’Apple TV e bisogna autenticarsi recuperando l’iPhone. Per esempio come accade per l’app di Spotify.

Perché Passkey non ha ancora risolto il problema con un mondo password less

La transizione verso un mondo senza password affronta alcune sfide. Innanzitutto, non tutti gli utenti possiedono i dispositivi necessari per implementare l’autenticazione senza password. Inoltre, il fattore umano gioca un ruolo cruciale: spesso gli utenti danno priorità alla convenienza rispetto alla sicurezza.

Potenziali soluzioni includono:

  • Integrare l’autenticazione multi-fattore (MFA) per migliorare la sicurezza mantenendo un’esperienza utente agevole. L’MFA combina diversi metodi di autenticazione, come password, token e biometria.
  • Adottare il single sign-on (SSO), che consente agli utenti di accedere a molteplici applicazioni e servizi con un’unica autenticazione. Ciò riduce la necessità di gestire numerose password.
  • Educare gli utenti sui benefici dell’autenticazione senza password e accompagnarli gradualmente verso i nuovi metodi. Un approccio graduale può facilitare l’adozione e ridurre la resistenza al cambiamento.

Integrando queste soluzioni, è possibile migliorare la sicurezza digitale senza compromettere eccessivamente l’usabilità. Tuttavia, la transizione completa verso un mondo senza password richiederà tempo e sforzi coordinati da parte di aziende, sviluppatori e utenti finali.

Fino a quando la stessa Apple richiederà di passare per una password alfanumerica, anziché appoggiarsi completamente ai sistemi biometrici, non ci saranno grandi segnali nel settore.

Rendere la vita difficile agli hacker la sta rendendo anche agli utenti

La cybersicurezza sta diventando sempre più importante, soprattutto alla luce dell’aumento del numero di cyberattacchi e l’accesso a tecnologie potenti a buon mercato.

Attacchi come il ransomware Conti e le attività del gruppo criminale Lapsus$ stanno colpendo aziende ed enti governativi in tutto il mondo. Per garantire la continuità aziendale, è fondamentale che le organizzazioni siano vigili e adottino adeguate misure preventive e protettive, poiché i cyberattacchi, pur imprevedibili, sono spesso causati da vulnerabilità che possono essere identificate e prevenute.

Le principali best practice per la cybersicurezza includono:

  • Eseguire regolarmente il backup delle informazioni critiche
  • Condurre periodiche valutazioni dei rischi di cybersicurezza
  • Fornire formazione sulla cybersicurezza al personale
  • Implementare patch software e di sistema tempestive
  • Valutare e testare piani di continuità aziendale e di risposta agli incidenti

Queste misure possono prevenire fino all’85% degli attacchi mirati, secondo il Dipartimento della Sicurezza Interna degli Stati Uniti.

La cybersicurezza richiede un’attenzione continua, poiché gli hacker cercano costantemente vulnerabilità da sfruttare.

La pratica di memorizzare le password in testo semplice sui server non è sicura, e invece è preferibile un accesso derivato dalla password attraverso metodi matematici non invertibili.

In conclusione

L’autenticazione senza password rappresenta un passo avanti nel migliorare la sicurezza informatica. Tuttavia, la transizione verso questo nuovo sistema non è priva di sfide. È fondamentale educare gli utenti sui vantaggi dell’autenticazione senza password e accompagnarli gradualmente in questo cambiamento.

Soluzioni come l’autenticazione multi-fattore e il single sign-on possono migliorare la sicurezza senza compromettere eccessivamente l’usabilità.

La lotta alle vulnerabilità e agli attacchi informatici è fondamentale, ma senza sacrificare l’esperienza utente. Apple e le altre big tech dovrebbero impegnarsi molto di più per trovare soluzioni efficaci e meno ridondanti.

Join the Conversation

2 Comments

  1. Bell’articolo.. non mi torna solo l’intro.. se metto il touchID è perché voglio sicurezza e non vedo il problema di mettere la password..

    Rispondi
    1. Rispondi
Leave a comment

Cosa ne pensi?