Come ogni primo giovedì del mese di maggio ricorre oggi il World Password Day, una giornata che ci ricorda il ruolo “chiave” delle password nelle nostre attività digitali. Le password sono oggi un importante punto di accesso alla nostra identità digitale a più livelli, dal nostro archivio privato al mondo social passando per i nostri conti economici. Ma non solo.
Anche a livello aziendale le password rappresentano uno strumento fondamentale per garantire riservatezza, funzionamento ed efficienza. Ed ecco perché eventuali violazioni possono causare perdite ingenti sia personali che aziendali.
Il World Password Day
Il World Password Day nasce nove anni fa su richiesta della multinazionale tecnologica Intel con lo scopo di portare attenzione sull’uso che facciamo di questo strumento. Ma considerando le nuove tecnologie e le violazioni cibernetiche in crescita, basta una giornata dedicata alle password? E, soprattutto, servono ancora le password? Sono davvero la migliore soluzione per garantire la sicurezza digitale?
Secondo Clusit, l’Associazione Italiana per la Sicurezza Informatica, il fenomeno richiede la creazione di un “Secure Authentication Day” per rendere la ricorrenza più attuale, portando l’attenzione anche sulle nuove tecnologie.
Come utilizziamo le password?
Con il termine password intendiamo la parola o codice di riconoscimento registrata dall’utente per poter accedere a un sistema operativo, a un programma o a un file. A conti fatti, difficilmente gli esseri umani gestiscono queste chiavi di accesso in maniera adeguata. Basti ricordare che da anni la password più utilizzata a livello globale, così come nel nostro Paese, è “123456”, una delle meno sicure in assoluto e facilmente decifrabile da qualunque cybercriminale.
Una recente ricerca di Nordpass dimostra, infatti, come tutti, dai gamer adolescenti agli imprenditori, sono bersagli di crimini informatici; l’unica differenza è che, di norma, le realtà aziendali pagano un prezzo più alto per la loro impreparazione.
Nonostante gli esperti continuino a esortare le società a prendere sul serio i rischi informatici, imprenditori, CEO e altre figure dell’alta dirigenza insistono a utilizzare “123456” o altre facilmente decifrabili come ad esempio “1q2w3e”, “12345”, “11111” e “qwerty.”. O ancora creature mitologiche come “drago” e “scimmia” con una menzione speciale anche ai nomi “Michael” e “Jordan”, che potrebbero o meno alludere alla stella dell’NBA.
Per quanto riguarda l’Italia, troviamo ai primi posti i nomi maschili più diffusi, come “andrea”, “francesco” e “giuseppe”, e nomi di squadre di calcio famose come “Juventus” e “Napoli”.
La vincitrice in tutte le categorie rimane comunque sempre “123456” (usata più di 1,1 milioni di volte), immediatamente seguita dalla parola “password” (utilizzata oltre 700mila volte).
Identità digitale: ecco alcune startup che se ne occupano in Italia e nel mondo
Tecnologie che avanzano e violazioni che aumentano
La sicurezza aziendale è una questione di strategia e l’utilizzo di nuovi strumenti può sicuramente aiutare a sventare attacchi di hacker. Tecnologie come la multifactor authentication tramite app o la biometria, già gratuitamente disponibili sulla quasi totalità dei servizi digitali oggi comunemente utilizzati, dimostrano sicuramente un’efficacia senza paragoni rispetto al vecchio concetto di password.
Ma così come migliorano gli strumenti per la sicurezza diventano anche più sofisticate le tipologie di attacchi hacker.
La già citata ricerca di Nordpass ha analizzato oltre 290 milioni di violazioni di dati in tutto il mondo raggruppandole in base alla qualifica professionale e ai settori (tecnologia, finanza, edilizia, sanità e accoglienza) che hanno subito il maggior numero di violazioni di sicurezza.
Francia e Regno Unito sono stati tra i Paesi più colpiti, con rispettivamente 200 milioni e 600 milioni di password violate. Anche l’Italia ha subito un consistente aumento di attacchi (nel 2021 una ricerca di CRIF ha registrato un +56,3% rispetto alla precedente rilevazione) evidenziando il mese scorso oltre 6mila credenziali di accesso rubate mediante il malware Stealer, relative ad account collegati a 41 portali istituzionali italiani.
Così come a livello personale, imprenditori, vertici aziendali e altre figure dirigenziali di alto livello, che dovrebbero essere più consapevoli della propria sicurezza online rispetto all’utente medio di Internet, hanno abitudini altrettanto pessime in termini di password esponendo l’azienda a rischi elevati.
Un rapporto IBM rivela che nel 2021 il costo medio globale di una violazione di dati ha raggiunto 4,24 milioni di dollari, il 10% in più rispetto al 2020. Gli attacchi che si verificano a causa di credenziali compromesse hanno un costo ancora più elevato, pari a 4,37 milioni di dollari, e rappresentano il 20% di tutte le violazioni.
È possibile fare a meno delle password?
Presto la password potrebbe essere un ricordo del passato. IN questa direzione stanno lavorando molte tecn company e startup. Per capire in che direzione può evolvere la nostra sicurezza digitale basta ricordare il caso della startup deeptech Keyless, acquisita nell’autunno 2021 dall’unicorno americano Sift.
Fondata nel 2019 a Londra dagli italiani Andrea Carmignani, Fabian Eberle, Giuseppe Ateniese e Paolo Gasti, Keyless è una startup deeptech di cybersecurity che nasce per creare un sistema universale per l’identità online.
La società si è presto distinta con la vittoria di un contest internazionale in ambito insurtech, Open-f@b Call4Ideas 2020 organizzato da BNP Paribas Cardif, e ha in seguito ottenuto due round di finanziamento nel 2020 e nell’aprile 2021.
Keyless offre soluzioni privacy-preserving alle imprese, tramite diverse soluzioni di passwordless authentication e di gestione dell’identità personale, che combinano la biometria multi-modale con tecnologie di miglioramento della privacy e una rete cloud distribuita. L’azienda lavora con grandi imprese in tutta Europa per proteggere la loro workforce e autenticare/identificare i propri utenti finali, senza compromettere in alcun modo la User Experience. Keyless, inoltre, è l’unica societá a livello mondiale ad aver ottenuto entrambe le certificazioni FIDO e FIDO2 , grazie alla tecnologia biometrica proprietaria.
Best tips: come usare le password al meglio
La consapevolezza di un miglior utilizzo è quindi il primo passo per evitare hackeraggi. Soprattutto in azienda è importante assicurare la formazione in materia di sicurezza informatica per i propri dipendenti. Partire dalle basi, in modo da coinvolgere anche chi ha meno dimestichezza con il digitale e i rischi che ne derivano, attraverso sessioni teoriche e pratiche. Affidarsi poi a tool specifici o anche gestori di password che consentono di memorizzare tutte le chiavi in una memoria digitale crittografata end-to-end, protetta con una sola parola chiave per garantire la massima comodità.
Inoltre sempre meglio prediligere l’autenticazione a più fattori, un approccio che utilizza due o più meccanismi per convalidare l’identità dell’utente attraverso app, dispositivi o dati biometrici diversi.
Secure Authentication Day: una proposta di Clusit
In un contesto così evoluto come quello della cybersecurity, limitarsi ad un World Password Day è riduttivo. Infatti la sicurezza digitale gioca su nuovi livelli per cui il sistema password rappresenta una piccola parte degli strumenti a disposizione. Ad evidenziarne gli aspetti anacronistici sono gli esperti del Clusit, Associazione Italiana per la sicurezza informatica, che suggeriscono l’istituzione di un “Secure Authentication Day”.
“Se fosse la giornata per creare consapevolezza sui rischi delle automobili, il World Password Day sarebbe oggi equivalente a celebrare i finimenti dei cavalli medievali”, afferma Alessio Pennasilico, membro del Comitato Scientifico Clusit. “Nove anni dopo la sua istituzione è doveroso un cambio di prospettiva, sulla base dello scenario attuale, con buona pace di chi spera ancora che le password possano proteggere i nostri dati”.
Un 5 maggio che offre quindi spunti di riflessione per tutti noi, al fine di rendere i nostri account e archivi più sicuri grazie non solo alle password ben selezionate ma anche ai molteplici strumenti a nostra disposizione.