Oggi molti attacchi informatici non partono da tecniche sofisticate, ma da qualcosa di molto semplice: una password. Sembra un aspetto ormai superato, ma nonostante anni di investimenti nella sicurezza, le password restano ancora il punto più vulnerabile nelle aziende e uno dei modi più facili per gli hacker di accedere ai sistemi. L’aumento di phishing, il riutilizzo delle credenziali e gli attacchi mirati all’identità fanno sì che affidarsi alle password come principale strumento di protezione rimanga un rischio concreto. Le password, infatti, sono nate per contesti che oggi non esistono più. Oggi le aziende operano in ambienti SaaS complessi, con personale da remoto e in modalità ibrida e integrazioni con terze parti. L’accesso avviene ovunque e in ogni momento, spesso con estrema urgenza e quando l’autenticazione è lenta o fallisce, i dipendenti trovano modi alternativi per accedere, aprendo la strada agli attacchi informatici.
Una ricerca recente di TeamViewer rileva che i lavoratori perdono 1,3 giorni lavorativi al mese per colpa di problemi tecnici e in questo contesto, le difficoltà di autenticazione non riducono solo la produttività: spostano il rischio nelle mani degli utenti costretti a trovare scorciatoie per portare a termine il proprio lavoro.
Il vero problema delle password
In realtà, le password falliscono perché il sistema stesso attribuisce troppa responsabilità agli utenti: requisiti complessi, cambi frequenti e richieste di accesso multiple che aumentano la frustrazione senza migliorare davvero la sicurezza. Il risultato? Comportamenti prevedibili: password riutilizzate, annotate, condivise o inserite in pagine di phishing ingannevoli.
Dal punto di vista della sicurezza, una password, anche se corretta, non dice nulla sull’affidabilità del dispositivo usato, sull’eventuale presenza di un ambiente gestito o sul fatto che l’accesso avvenga da una posizione insolita. Di conseguenza, gli addetti alla sicurezza devono compensare questa mancanza con controlli aggiuntivi — come sistemi di monitoraggio, alert e regole di accesso condizionato — mentre la vulnerabilità principale resta comunque presente. Il risultato è un divario sempre più marcato tra le modalità di protezione degli accessi e il modo in cui avvengono realmente gli attacchi.
L’identità è ora la prima linea
Nell’attuale scenario, dove i confini della rete aziendale sono sempre più sfumati, l’identità è diventata il principale punto di controllo. Poiché ogni connessione — che coinvolga utenti, dispositivi o applicazioni — rappresenta un potenziale punto di ingresso, le decisioni sull’autenticazione diventano le fondamenta della sicurezza e della resilienza. Il Single Sign-On (SSO) è un punto di partenza necessario, ma è efficace solo se applicato in modo coerente. Le lacune nascono quando esistono eccezioni alle regole, applicazioni che non sono integrate nel sistema di accesso o sistemi di identità separati tra loro. Questi punti deboli sono difficili da individuare e ancora più difficili da gestire. Considerare l’identità come una soluzione solo parziale significa quindi lasciare aperte vulnerabilità proprio nei punti che gli attaccanti tendono a colpire per primi.
Oltre i “segreti condivisi”
I moderni metodi di autenticazione – come le passkey e le credenziali basate su piattaforma – sono progettati per superare i limiti e le vulnerabilità delle password tradizionali. Questi sistemi sostituiscono i ‘segreti condivisi’ – ovvero le password e altri codici – con credenziali crittografiche legate a un dispositivo specifico, spesso verificate tramite biometria. Le credenziali non vengono mai trasmesse in una forma che possa essere intercettata o riutilizzata.
Questo riduce drasticamente l’esposizione alle comuni tecniche di attacco, inclusi i tentativi di phishing in tempo reale. Inoltre, migliora l’esperienza utente eliminando reset, blocchi e interruzioni continue. Cosa altrettanto importante, questi approcci consentono alle aziende di integrare l’affidabilità del dispositivo direttamente nelle decisioni di accesso: il fatto che un dispositivo sia noto, gestito o conforme diventa parte integrante dell’autenticazione, non un elemento secondario.
Le decisioni sulla sicurezza sono decisioni aziendali
I fallimenti nei processi di autenticazione non creano solo incidenti di sicurezza; interrompono i flussi operativi e aumentano i tempi di ripristino. Una solida architettura dell’identità rende l’accesso più prevedibile e gli incidenti più facili da contenere. Per questo motivo, la sicurezza dell’identità non può essere trattata come un tema puramente tecnico.
I vertici aziendali hanno bisogno di visibilità sul rischio legato all’identità in termini di business: resilienza, continuità operativa e capacità di ripristinare rapidamente gli accessi sotto pressione. I responsabili della sicurezza, d’altra parte, hanno il compito di comunicare chiaramente, allineando i controlli alle reali modalità di lavoro e riducendo la dipendenza da modelli fragili che tendono a fallire sotto pressione.
Il rischio è evitabile
Le password persistono perché sono familiari, non perché efficaci. Tuttavia, mentre gli hacker continuano a potenziare tecniche di phishing e abuso delle credenziali, affidarsi alle password come principale metodo di autenticazione comporta un’esposizione inutile al rischio. Questo cambiamento è ormai parte integrante delle linee guida Zero Trust, che pongono l’autenticazione resistente al phishing come requisito fondamentale. Gli strumenti per superare le password esistono già; la sfida sta nell’applicarli con coerenza, unendo sicurezza e priorità aziendali in una visione condivisa del rischio.
Oggi l’autenticazione non serve solo a verificare chi è una persona, ma a stabilire ogni volta il livello di fiducia di ogni accesso in base al contesto.
