La password da sola non basta più: siamo nell’era della doppia autenticazione

Chiamasi “password”, la sequenza di caratteri alfanumerici utilizzati per accedere in modo esclusivo a computer, bancomat, connessioni web, caselle di posta elettronica, programmi, database e via così. In pratica, una sorta di lasciapassare moderno che dovrebbe aprire in modo esclusivo le porte ad un mondo privato fatto di algoritmi, e al tempo stesso chiuderle ai malintenzionati. Ma la password, a cui è dedicata addirittura una giornata mondiale, è anche una dannazione che porta molti a scegliere formule facili da ricordare ma altrettanto da violare, come “Admin”, che secondo le statistiche quest’anno ha superato per la prima volta la gettonatissima “12345678”. Effetto collaterale di stime secondo cui oggi un utente medio dovrebbe ricordare a memoria circa 100 password diverse.

Proprio per questo motivo, insieme al proliferare di cyber-delinquenti, la “ACN” (Agenzia per la Cybersicurezza Nazionale), ha lanciato un appello attraverso le Linee Guida “per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio”: la password da sola non basta più.

Siamo ormai entrati nell’era in cui per sperare di dormire sonni tranquilli è necessaria la doppia autenticazione (strong authentication), quella che alla password - primo passaggio - unisce il doppio controllo attraverso diverse modalità che vanno dall’SMS alle impronte digitali, le chiavi d’accesso temporanee o il “Face ID”, il sistema biometrico basato sul riconoscimento facciale.

Le Linee Guida dell’ACN irrompono in modo tempestivo dopo aver analizzato il preoccupante aumento di tentativi di intrusione e di attacchi informatici, compresi i recenti casi del dossieraggio realizzato spulciando nella vita personale di personaggi politici e del mondo dell’economia.

Per tentare di complicare la vita ai malintenzionati, rendendo loro più difficile l’accesso, l’ACN ha elaborato un protocollo di sicurezza e un elenco articolato in 32 misure e diviso in sei sezioni: controllo degli accessi, buone prassi nello sviluppo di sistemi e app, gestione del ciclo di vita di sistemi e app, gestione sicurezza nell’approvvigionamento, monitoraggio e auditing e formazione del personale. Le raccomandazioni riguardano in particolare le banche dati di soggetti pubblici e privati, che devono assicurare la tutela dei dati personali dei loro utenti.

Le linee guida dell’ACN sono in realtà una sorta di antipasto ad un vasto catalogo di prescrizioni che sarà pronto entro il mese di aprile del prossimo anno, in attuazione della normativa NIS 2 (Dlgs. 138/2024).

I consigli partono dall’identificazione dei privilegi di accesso alle banche dati per ogni singolo utente con autenticazione a più fattori, da affiancare a sistemi automatizzati di allarme in caso di accessi non autorizzati e la generazione di password casuali complesse. Estremamente consigliate anche la disinstallazione di servizi e software non necessari e la cadenza periodica di test di penetrazione dei sistemi. Per finire con il monitoraggio dell’accesso da parte di fornitori alle banche dati, con revoca immediata delle credenziali alla cessazione della fornitura, l’adozione di firewall e sistemi centralizzati di log e di rilevazione di possibili minacce (auditing) e corsi di cybersicurezza e formazione per il personale dotato di accessi privilegiati.

Oltre alle cautele tecniche, ci sono quelle fisiche come la gestione e il controllo degli accessi a locali e ai dispositivi, e le cautele giuridiche che chiedono di inserire clausole di cybersicurezza nei contratti con i fornitori. Per finire con le cautele organizzative, che passano dalla definizione di ruoli e responsabilità dei monitoraggi.

Eppure, secondo gli esperti, a breve l’autenticazione potrebbe non essere più sufficiente, anche se al momento resta uno dei sistemi più sicuri. Il futuro, a brevissimo, parla ormai dell’arrivo imminente della fase dell’autenticazione “out-of-band” (OOBA), che richiede all'utente una doppia verifica attraverso diversi canali di comunicazione, o ancora la tecnologia “deep voice detection”, che permette a un dispositivo di riconoscere una voce vera rispetto ad una artificiale.