Password: esisteranno ancora nel prossimo futuro?

Considerando i nuovi progressi in termine di protezione, la password tradizionale diventerà un sistema obsoleto?

In una recente intervista con TechRepublic, il direttore operativo del gestore di password 1Password ha stimato che attualmente esistono circa 100 miliardi di password a protezione dei nostri gateway digitali. Dati hackerabili in quanto se è possibile digitarle con una tastiera standard, chiunque altro può farlo. Certamente prima occorrerà trovare la combinazione esatta, ma grazie all’intelligenza artificiale che può concentrarsi su un bersaglio digitale provando migliaia di password diverse ogni minuto, e il tutto senza che l’utente se ne accorga, l’operazione è ben più semplice rispetto al passato.

Nella maggior parte dei casi, i cracker di password amano impiegare due semplici metodi: credenziali trapelate e attacchi brute force. L’uso di credenziali trapelate è un gioco da ragazzi, in quanto gli hacker uniscono semplicemente le centinaia di milioni di nomi utente e password trapelati negli anni in violazioni dei dati e li utilizzano per accedere a un bersaglio. Questi hacker sanno che la maggior parte della popolazione riutilizza le password in diversi servizi e mira a trarne vantaggio.

Gli attacchi brute force sono congetture istruite per colpire a ripetizione. Un programma per decifrare la password avvia combinazioni alfanumeriche fino a quando non trova quella corretta, usando il Teorema della scimmia infinita, il quale recita che se una scimmia preme i tasti della macchina da scrivere in modo casuale per un tempo infinito, alla fine comporrà le opere di William Shakespeare. O le password giuste.

Ciò che è diventato uno standard industriale per noi è in realtà un’antica tradizione che risale agli inizi della civiltà, da quando le persone hanno usato parole e codici segreti per dimostrare identità e accedere a zone riservate. Ma una nuova ondata di tecnologia è pronta a ridurre il rischio per la sicurezza delle password hackerabili eliminandole del tutto. Alcune organizzazioni stanno già utilizzando queste misure, ma nessuna è stata ancora ampiamente adottata.

Gartner prevede che entro il 2022, il 60% delle più grandi imprese del mondo e il 90% delle medie imprese del mondo implementeranno metodi di sicurezza senza password in oltre il 50% dei casi d’uso. Ecco alcuni dei principali contendenti nell’autenticazione senza password.

Biometria – L’autenticazione biometrica utilizza caratteristiche identificative uniche dell’utente, come il viso o l’impronta digitale. Tuttavia, potrebbe sorgere un problema se i dati biometrici fossero replicati da qualcun altro. A differenza delle password, non è possibile tornare indietro e “ripristinare” l’impronta digitale.

Single sign-on (SSO): questa pratica utilizza ancora una password, ma solo una. È un protocollo di autenticazione che consente agli utenti di inserire un nome utente e una password che quindi aprono più applicazioni e programmi. Sebbene tecnicamente possa ancora essere soggetto a un attacco brute force, riduce la superficie di attacco avendo solo un punto di ingresso.

Autenticazione basata sul rischio: in questo caso, l’IA misura il rischio della transazione analizzando il richiedente e ciò che viene richiesto. Se è considerato a basso rischio, l’IA consente di procedere con la transazione. Se è considerato a medio rischio, il sistema chiederà un altro fattore identificativo. E se è considerato ad alto rischio, il sistema bloccherà la transazione.

Firma digitale del dispositivo: qui il programma di sicurezza rileva una firma digitale del dispositivo, registrandone il marchio, la memoria, la posizione e l’indirizzo IP. Successivamente, quando quel dispositivo accede, il programma di sicurezza lo riconosce e quindi utilizza l’analisi basata sul rischio per procedere con la transazione. La società Beyond Identity sta approfondendo questa idea, utilizzando un sistema simile alle certificazioni di siti Web, in cui gli URL comunicano e si “approvano” reciprocamente mediante l’uso di certificati. Beyond Identity ha persino registrato il termine “Chain of Trust“, che utilizza per descrivere la sua rete di dispositivi riconosciuti.

Ma il fatto è che non viviamo ancora in un mondo senza password, quindi spetta a ciascuno di noi proteggere i nostri dati e dispositivi con la massima sicurezza possibile. Pertanto, è opportuno prendersi un momento per valutare le password che si stanno utilizzando e assicurarsi che possano proteggere i propri accessi.

Di seguito alcuni suggerimenti per rendere forti i propri account.

1. Non riutilizzare mai la stessa password per più di un account. Questo è il più grande rischio per la sicurezza della password.

2. Abilitare l’autenticazione a più fattori dove è disponibile. Questi sistemi generalmente comprendono tre compeneti: una password, un token e la biometria. L’uso di almeno due di questi per ogni  account ridurrà drasticamente il rischio di violazione.

3. Creare delle passphrase, password complesse e non decifrabili.

In futuro l’autenticazione biometrica potrebbe darci la tecnologia per usare battiti cardiaci o onde cerebrali per dimostrare l’identità di un utente. Fino a quel momento però continueremo ad usare la tastiera, pertanto siate creativi nella scelta delle password.