Negli anni abbiamo imparato a crearle, custodirle, modificarle: tuttavia, oggi le password da sole non bastano più a proteggerci davvero.
Spiega Anna Vaccarelli, presidente di Clusit, l’Associazione Italiana per la Sicurezza Informatica: “Non è più solo una questione di come scegliamo le password, ma di come l’intero sistema digitale protegge le informazioni personali nel tempo”.
La sicurezza del futuro si gioca soprattutto “dietro le quinte”, nelle tecnologie che proteggono i dati, prima ancora che l’utente inserisca la propria password. E il problema è destinato a divenire più rilevante nei prossimi anni, con l’arrivo di computer quantistici sempre più potenti, che potrebbero accelerare il declino delle password tradizionali e dei sistemi di sicurezza su cui oggi facciamo affidamento.
Non è fantascienza, ma uno scenario già reale. Attori molto avanzati, come alcuni Stati, stanno già intercettando e conservando dati oggi protetti da crittografia, con l’obiettivo di decifrarli in futuro, quando i computer quantistici saranno abbastanza potenti. Questo significa che informazioni sensibili trasmesse oggi — anche se sicure — potrebbero non esserlo più tra 10 o 15 anni.
«Le password ci hanno accompagnato per decenni, ma oggi mostrano tutti i loro limiti. Sono fragili, spesso usate male e sempre più esposte a furti e truffe. Il quantum computing, nel medio periodo, renderà ancora più urgente il passaggio a sistemi di autenticazione più evoluti», sottolinea Anna Vaccarelli, presidente di Clusit. «Si tratta quindi di rendere la cybersecurity più solida e più semplice per le persone».
Che cosa fare, nell’immediato, per proteggere i dati?
In occasione del World Password Day, Clusit richiama l’attenzione sulla necessità di superare il modello basato solo sulle password, spostandosi verso sistemi di autenticazione più robusti e più facili da usare, come passkey,autenticazione a più fattori e soluzioni biometriche.
Per gli utenti questo significherà meno fatica e meno rischi; per aziende e istituzioni, una maggiore responsabilità nel proteggere identità, dati e account.
Clusit invita quindi cittadini, aziende e istituzioni a considerare la sicurezza degli accessi come una priorità quotidiana:
- usare password uniche e complesse
- attivare sempre la verifica in due passaggi
- iniziare a familiarizzare con le nuove modalità di accesso che stanno progressivamente sostituendo le password tradizionali
Sicurezza delle password: oltre lunghezza e complessità
Per facilitare questa transizione, gli esperti di Clusit consigliano di fare attenzione a cinque fattori, spesso trascurati:
- Dove viene memorizzata la password. Le password non vengono salvate così come le digitiamo. I sistemi di solito le trasformano in un codice segreto, chiamato hash, per proteggerle meglio. Se il sistema è vecchio, però, quel codice può essere più facile da decifrare. I sistemi più moderni rendono invece il furto molto più difficile.
- Riuso e correlazione tra account. Una password unica e complessa usata su 20 siti diventa vulnerabile quanto il sito più debole tra quei 20. Il credential stuffing — usare credenziali rubate da una fuga di dati per accedere ad altri servizi — è oggi uno degli attacchi più efficaci e scalabili.
- Una password può sembrare complicata, ma non essere davvero sicura.
Per esempio, una parola come P@ssw0rd! sembra forte, ma è facile da indovinare per chi usa strumenti di attacco, perché conosce già queste sostituzioni prevedibili. In pratica, la sicurezza di una password dipende da quanto è imprevedibile per un attaccante, non da quanto appare “strana” a occhio. - Anche la password più forte può essere rubata con trucchi come phishing o inganni. Per questo la sicurezza non dipende solo dalla tecnologia, ma anche dai comportamenti delle persone.
- Il tempo conta più della rotazione automatica.
Se una password finisce in una violazione dei dati non subito scoperta, può restare valida per mesi, se non viene cambiata. Per questo è più utile controllare attivamente se le proprie credenziali sono state compromesse (con servizi dedicati) piuttosto che cambiarle a intervalli fissi: la rotazione forzata porta spesso a scelte prevedibili, come “Password1”, “Password2”.
L’Intelligenza Artificiale cambia il panorama degli attacchi alle password
Attacchi più intelligenti, non solo più veloci.
Oggi esistono strumenti che usano l’intelligenza artificiale per “indovinare” le password basandosi su miliardi di esempi reali. Non provano tutte le combinazioni a caso: imitano il modo in cui le persone scelgono le password. Così riescono a trovarle molto più rapidamente. Le password che sembrano creative — nomi di animali con date di nascita, citazioni di film con sostituzioni — rientrano esattamente nei pattern che questi modelli imparano a replicare.
Personalizzazione degli attacchi
Con le informazioni che condividiamo online (social, LinkedIn, forum), l’IA può costruire dizionari di attacco personalizzati: nomi di familiari, luoghi significativi, squadre del cuore. Così l’attacco diventa mirato, non generico.
Difesa più intelligente
Sul lato difensivo, l’Intelligenza Artificiale può aiutare a rilevare anomalie comportamentali nel login (orario insolito, posizione, modo di digitare), rendendo più difficile l’uso di credenziali rubate anche quando sono corrette.
“La sicurezza delle password è sempre più un problema sistemico, non individuale”, conclude Anna Vaccarelli. “Tuttavia, le scelte dell’utente contano certamente, poiché la consapevolezza digitale e l’adozione di buone pratiche quotidiane – come l’utilizzo di gestori di password, l’attivazione dell’autenticazione a più fattori e l’attenzione costante verso le minacce di phishing – rappresentano ancora oggi il primo, fondamentale baluardo di difesa che, affiancato ad architetture resilienti e implementazioni crittografiche d’avanguardia, è indispensabile per elevare il livello complessivo della nostra postura di sicurezza”.
