Da sempre l’uomo affida il riconoscimento delle persone all’immagine del viso; un neonato, ad esempio, impara a riconoscere le espressioni della madre prima di ogni altra cosa ed è naturale abbinare un viso con una e una sola identità. L’identificazione comprende, quindi, in modo naturale il processo di autenticazione e orienta di conseguenza tutto il nostro comportamento sociale.
Nel contesto digital, il riconoscimento di caratteristiche quali viso, voce, postura è impossibile da un lato o facilmente eludibile dall’altro, mettendo a repentaglio quindi il naturale processo di identificazione e autenticazione; ecco perché diventa normalmente necessario aggiungere anche altri attributi che ne accrescano l’affidabilità, attributi che ricadono in una delle seguenti casistiche:
Laddove manchino dati diretti, ci si può affidare normalmente a documenti emessi da enti ufficiali, che certifichino l’identità dell’interlocutore. Nel mondo digitale, questi sono rappresentati dalle Certification Authority.
In ambito digitale, il furto d’identità è reso estremamente possibile dalla quantità di indizi digitali che lasciamo in rete (si pensi alle immagini pubblicate sui social, oppure ai dati condivisi con altri, come indirizzo mail, rubrica dei contatti, partecipazione a sondaggi, commenti di orientamento politico). Queste informazioni restano disponibili per lungo tempo (se non per sempre) e diventano facili prede per i malintenzionati che potrebbero falsificarle e manometterle.
L’idea è quella di rendere sempre più robusto e consolidato il processo di autenticazione, per essere certi di verificare in modo univoco e veritiero l’identità del nostro interlocutore.
Dover dimostrare la propria identità è una prassi comune, magari quando ci colleghiamo ad un sistema bancario. Ma perché un solo fattore di riconoscimento, ad esempio un PIN o una password, non è sufficiente per proteggerci? Perché se quella password, per quanto complessa possa essere, è l’unico elemento associato alla nostra identità, cioè la nostra unica protezione, e viene intercettata e riconosciuta, la nostra capacità di fruire del sistema è compromessa ed è quanto meno a rischio.
Ecco perché sempre più sistemi stanno abbandonando questo tipo di autenticazione intrinsecamente “debole” e optano, invece, per la cosiddetta autenticazione a più fattori (MFA – Multi factor authentication), che richiede di fornire simultaneamente due o più informazioni associate ad un utente.
La Multi Factor Authentication rende il processo di autenticazione più complesso e sicuro: anche ammettendo che un hacker, servendosi di attacchi phishing o social engineering, riesca a rubare le credenziali di accesso all’utente (cioè la password), si suppone che non sia comunque in grado di accedere contemporaneamente al vettore dell’autenticazione secondaria (per esempio un’app su uno smartphone).
L’autenticazione multi-fattore può offrire svariate opzioni di autenticazione, quali dati biometrici, un token di sicurezza (PIN) o la posizione geografica dell’utente. I progressi tecnologici hanno reso poi relativamente semplice la sua implementazione per gli account principali, i repository di dati e i sistemi cloud. La crescita vertiginosa dei furti di password e degli attacchi di violazione delle credenziali di accesso spiegano la sempre maggiore adozione di questo tipo di autenticazione.
Perché è stato necessario ricorrere all’autenticazione a due fattori? Essenzialmente a causa di due problemi principali. Innanzitutto, ci si è accorti che le risorse informatiche in mano ai cybercriminali permettono loro di effettuare milioni di tentativi in breve tempo per decifrare le password delle potenziali vittime. A questo si aggiunge la pessima abitudine degli utenti di utilizzare spesso la stessa password su sistemi e account differenti. È evidente, quindi, che una volta violata tale password, un malintenzionato potrà accedere a tutti i sistemi cui può accedere la vittima.
In alcuni casi, l’autenticazione a più fattori non è una scelta; spesso, ma purtroppo non ancora in modo massiccio e diffuso, le aziende richiedono ai dipendenti di fornire molteplici forme di autenticazione per accedere a risorse, come le reti private virtuali (VPN) e ai sistemi cloud. In altri casi, invece, l’utilizzo di questo metodo è facoltativo: molti siti web e applicazioni offrono l’opzione MFA, ma è una nostra scelta abilitarla.
Ecco tre buoni motivi per cui dovremmo sempre utilizzare l’autenticazione multi-fattore (se disponibile):
Tra le password più utilizzate nell’ultimo anno continuano a comparire combinazioni alfanumeriche banali e di uso comune. Ci credi che nel 2021 la password più gettonata, usata da oltre 100 milioni di persone in tutto il mondo, è stata 123456? A seguire c’è chi ha pensato di accorciare questa sequenza di numeri optando per 12345 o di allungarla arrivando fino al numero 9. Non mancano altre password estremamente semplici come, 111111, 123123 o addirittura “password” e “qwerty”. Questi dati, all’apparenza “divertenti”, sono in realtà esplicativi di un problema diffuso: la scarsa consapevolezza in materia di sicurezza informatica.
Essere consapevoli oggi può fare la differenza nell’affrontare e prevenire gli attacchi informatici, partendo proprio dall’utilizzo di password efficaci. Vediamo insieme come crearle in maniera corretta.
Anzitutto, è necessario creare una password il più lunga possibile (almeno 12 caratteri), che includa numeri, simboli e lettere minuscole e maiuscole. Questo perché, quanto più lunga è una password, tanto più tempo occorrerà al malintenzionato per provare tutte le possibili combinazioni per trovare quella giusta (tecnica nota come brute force).
Con le attuali potenze di calcolo, per esempio, un aggressore potrebbe indovinare una password di otto caratteri in meno di un giorno, mentre una password lunga 12 caratteri richiederebbe due settimane. Per una password lunga 20 caratteri sarebbero invece necessari 21 secoli.
La risposta è no! Purtroppo gli hacker dispongono, infatti, di strumenti sofisticati, che sono in grado di indovinare le password sulla base di parole di uso corrente e modelli comuni, come scrivere la prima lettera in maiuscolo o aggiungere un punto esclamativo alla fine. Non solo, se ci si affidasse a frasi anche complesse ma note, per esempio un proverbio, l’indovinare le prime parole renderebbe immediato al malintenzionato l’intuire la password intera (carpire un “è meglio un”, permetterebbe di azzeccare quasi sicuramente il resto: “un uovo oggi che una gallina domani”).
Per rendere una password più resistente a tali strumenti è necessario quindi aumentarne la casualità, creando magari combinazioni di parole senza alcun senso. Un altro modo per creare delle password efficaci è utilizzare un generatore di password, un software che permette di generare password velocemente e a random.
Come detto, per proteggere i nostri account nella maniera corretta dobbiamo usare password complesse, cioè lunghe a sufficienza e casuali; ma molte persone, per evitare di doverle ricordare a memoria, adottano la pericolosa abitudine di riutilizzare sempre la stessa per tutti i propri account; chiaro che, se un malintenzionato ne entra in possesso, questi è poi in grado di accedere a tutti gli account della vittima. Gli aggressori sfruttano spesso questa condizione.
Ma come ricordarle allora, senza cadere nel vecchio errore di trascriverle su un post-it, sulla nostra agenda o nelle note del nostro smartphone?
La soluzione migliore è quella di utilizzare un password manager, ovvero un software che permette di gestire tutte le password dei nostri account, custodite in una “cassaforte” (vault) che è accessibile attraverso un’unica password centrale, quella del password manager stesso, che è l’unica da ricordare; una volta inserita, si ottiene l’accesso a tutte le altre, che possono essere utilizzate per il caso in oggetto, magari sfruttando l’operazione di “copia-incolla”.