“Una delle principali sfide per la sicurezza è legata ai sistemi che autenticano gli utenti tramite password. Le password sono scomode e creano numerose vulnerabilità, quindi perché non possiamo semplicemente sostituirle?
La risposta è semplice: non esiste ancora un metodo migliore. Le aziende fanno affidamento sui propri utenti e, sebbene la maggior parte di essi affermi di guardare come prima cosa alla sicurezza piuttosto che alla comodità, le loro azioni mostrano qualcosa di diverso. Anche una volta subito un furto di credenziali, meno di un utente su dieci decide di adottare l’autenticazione a più fattori (MFA) a causa della complessità e dei fastidi legati al suo utilizzo.
Per poter sostituire il metodo di autenticazione tramite password sarebbe necessario avere a disposizione una soluzione che sia almeno equivalente in termini di usabilità, sicurezza e implementazione e che sia superiore in almeno uno di questi ambiti. Una soluzione ipotetica, come un’autenticazione a più fattori che faccia affidamento su informazioni invisibili all’utente (iMFA, invisibile Multi Factor Authentication), potrebbe funzionare, ma non sarebbe comunque in grado di sostituire le password dall’oggi al domani.
Fino a quando questo cambiamento non sarà possibile, le aziende dovranno contrastare gli aggressori negando loro la risorsa più preziosa: il tempo.
Più un’organizzazione riesce ad allungare in modo significativo il tempo che i criminali devono dedicare all’azione per riuscire a monetizzare i propri attacchi, più aumenterà il numero dei criminali informatici che abbandonerà il tentativo a favore di obiettivi più deboli. Le aziende devono, infatti, aggiornare i propri metodi per proteggere le password con tecniche che garantiscano una maggiore sicurezza, come bcrypt, così da rallentare gli aggressori prima ancora che l’attacco sia lanciato.
La criminalità informatica è a tutti gli effetti un business e gli attacchi sono organizzati basandosi sul tasso di ritorno prevedibile: per questo motivo, fino a quando non verrà sviluppato un metodo migliore che sostituisca le password, le misure preventive più efficaci che le organizzazioni possono adottare sono quelle che permettono di rallentare tali azioni”.
Paolo Arcagni*
*Sr. Manager, System Engineering di F5