CyberArk: un mondo senza password è un mondo più sicuro

Le password esistono da tempi immemori e fanno ormai parte della storia, non solo quella moderna. Le civiltà antiche utilizzavano le parole d'ordine per consentire l'ingresso in aree altrimenti inaccessibili, mentre i legionari romani, come raccontava lo storico Polibio, le adottavano durante gli scambi dei turni di guardia. Insomma, per secoli queste parole - o chiavi d'accesso - hanno protetto oggetti preziosi e informazioni sensibili, ma quella di oggi è indubbiamente una situazione diversa. Nella nuova era dell'informatica le password hanno assunto connotati negativi, fino a essere considerate 'l'anello più debole' della sicurezza.

Un mondo privo di password è possibile? A rispondere a questa domanda è CyberArk, società specializzata in soluzioni di protezione dei dati, che analizza l'attuale panorama della sicurezza informatica e dei metodi di autenticazione più diffusi tra gli utenti del web e, soprattutto, tra le aziende.

Password e attacchi informatici: i rischi per le aziende

Possiamo serenamente affermare che la maggior parte degli internauti sceglie combinazioni di password semplici o persino banali. Sempre più spesso, inoltre, quelle stesse password vengono riutilizzate per effettuare l'accesso a nuove piattaforme, senza curarsi dei potenziali rischi relativi alla sicurezza. Discorso analogo vale per le aziende, dove gli esperti raccomandano a dipendenti e manager di creare password individuali e complesse, ma non tutti seguono questo consiglio.

Come diretta conseguenza, la maggioranza degli attacchi informatici coinvolgono credenziali compromesse o rubate, che vengono successivamente vendute online ai migliori offerenti. Come se ciò non bastasse, il fatto che le password sottratte vengano spesso riutilizzate dalle vittime non può che aggravare l'impatto a lungo termine di tali attacchi.

A tal proposito, è il phishing una delle tattiche più utilizzate dai malintenzionati per colpire le aziende e ottenere l'accesso a informazioni sensibili. Lo testimoniano i dati diffusi da Verizon nel suo Data Breach Investigation Report 2019: il 32% di tutte le violazioni riguardava il phishing, mentre il 33% comprendeva attacchi di social engineering volti a ingannare gli utenti.

Autenticazioni 2FA e MFA = maggiore sicurezza, ma fino a che punto?

Al fine di aggirare le problematiche e i rischi appena elencati, alcune soluzioni propongono agli utenti di aggiungere uno o più 'step' alla consueta fase d'accesso. Parliamo allora dell'autenticazione a due fattori (2FA) e dell'autenticazione multifattoriale (MFA), due metodi che garantiscono un livello più avanzato di protezione. Entrambi i metodi prevedono il normale inserimento della password, ma richiedono anche un secondo passaggio, identificato nell'utilizzo di un'applicazione per smartphone o in una forma d'autenticazione biometrica (impronta digitale).

Le autenticazioni 2FA e MFA rafforzano effettivamente la sicurezza degli account, ma per alcune categorie di utenti business queste metodologie rischiano solo di ostacolare la produttività: parliamo ad esempio degli amministratori di rete e degli sviluppatori, le cui operazioni richiedono velocità ed agilità, due qualità che non appartengono alle metodologie appena descritte. Paradossalmente, sono queste le figure che vengono prese di mira dai cybercriminali e che garantirebbero loro l'accesso immediato alle informazioni più critiche di un'azienda.

Massimo Carlotti, Presales Team Leader di CyberArk, afferma: "Anche se raccomandiamo sempre di utilizzare l’MFA quando si accede ai sistemi critici, senza una gestione e un monitoraggio adeguati, le password o le credenziali possono comunque rappresentare un anello debole. Memorizzare e cambiare le credenziali in un caveau digitale con password o in un gestore di credenziali è un altro metodo per risolvere il problema delle 'persone' in quanto impedisce il riutilizzo delle password".

Da questa situazione emerge la necessità di introdurre un ulteriore controllo per l'autenticazione, un metodo che possa garantire il maggiore livello di sicurezza possibile e, al tempo stesso, che possa risultare semplice e immediato.

Passwordless: nuove soluzioni per gli utenti business, e non solo

La risposta potrebbe essere identificata in una parola: passwordless. Come funziona questo genere di soluzioni prive, letteralmente, di password?

Ce lo spiega lo stesso Carlotti: "'Passwordless' non significa che le password cessano di esistere; significa semplicemente che gli utenti finali e le utenze delle applicazioni non sono esposti direttamente nei passaggi in cui vengono usate le credenziali necessarie per accedere ai sistemi critici. L’obiettivo dell’autenticazione senza password è quello di migliorare la sicurezza e rendere più comodo e semplice l’accesso alle risorse da parte degli utenti".

I dati di autenticazione non vengono mai memorizzati all'interno del sistema, come avverrebbe invece per le tradizionali password, e non potranno mai essere recuperati dagli utenti. I vantaggi che derivano da tale approccio sono notevoli e li ritroviamo in tecnologie ormai diffuse, prima fra tutte Windows Hello. Con le soluzioni passwordless, inoltre, i rischi legati ai già citati attacchi di phishing sono del tutto scongiurati.

Niente password, niente problemi, giusto? Non esattamente. Le informazioni più preziose di un'azienda richiedono, solitamente, accessi privilegiati e controlli di sicurezza che i normali strumenti passwordless non possono garantire.

"L’accesso ai sistemi di livello 1 e 0, che contengono gli asset più privilegiati di un’organizzazione, dovrebbe essere protetto con una soluzione completa di Privileged Access Management (PAM) in grado di proteggere e isolare le credenziali in modo che gli utenti non le conoscano mai - rendendole di fatto 'prive' di password - ma anche di fornire ulteriori livelli di sicurezza come il monitoraggio delle sessioni, le registrazioni e il rilevamento delle minacce basato sull’analisi automatica di quanto avviene nelle sessioni svolte", chiarisce Massimo Carlotti di CyberArk.

In ogni caso, l'approccio passwordless può avvicinarci a un mondo più sicuro, in cui le famigerate 'parole d'ordine' non rappresentano più un pericolo per gli utenti e per le informazioni da essi custodite. Con queste soluzioni i pericoli sono indubbiamente ridotti e le principali minacce (phishing) facilmente respinte. La preoccupazione per la scelta di una password forte e complessa potrebbe diventare - si spera - solo un lontano ricordo.