Da dieci anni il 4 maggio ricorre la celebrazione del World Password Day, un appuntamento importante che nel tempo ha contribuito a rafforzare la consapevolezza della sicurezza digitale. Molte aziende di cybersecurity sono intervenute per spiegare la propria chiave di lettura su questo presidio di sicurezza, che qualcuno reputa ancora valido, altri ritengono ormai anacronistico.

Il nocciolo della questione resta il fatto che una password non è di alcuna utilità se è banale. Secondo Alessio Aceti, CEO e fondatore di Sababa Security, il messaggio più importante per gli utenti di qualsiasi genere e tipo è l’importanza di proteggere i propri dispositivi e applicazioni con password adeguate. Se la fantasia e la memoria non sono di supporto, meglio affidarsi a un password manager, o gestore di password, che è per sua natura più sicuro di un semplice foglio Excel, di un documento Word o della cara e vecchia agenda.

Più polemico è l’approccio di Clusit, e in particolare di Alessio Pennasilico, membro del Comitato Scientifico di Clusit, secondo cui la ricorrenza del 4 maggio rischia di assumere un valore anacronistico. L’esperto ribadisce la necessità di abbandonare numeri, lettere e caratteri speciali a favore delle tecnologie più avanzate oggi disponibili per garantire sicurezza senza condizioni.

La posizione drastica è giustificata dai dati rilevati dallo stesso Clusit, secondo cui i criminali informatici utilizzano tecniche molto comuni e poco complesse per violare gli account e impossessarsi di dati e identità digitali, sfruttando l’incapacità degli utenti di gestire correttamente i propri account. Meglio quindi aggirare il problema prediligendo una autenticazione sicura, che può comprendere l’autenticazione multi fattore tramite app o la biometria. Entrambe sono ampiamente disponibili e gratuitamente sui servizi digitali più comuni e la loro efficacia va molto oltre il vecchio concetto di password.

Il 4 maggio da dieci anni è anche l’occasione per ideare modi alternativi di comunicare l’importanza delle password. Un’idea decisamente originale a questo giro è quella di Carla Roncato, Vice President Identity, WatchGuard Technologies, che ha tracciato un parallelo fra le password e Star Wars. Il primo elemento in comune è proprio la data: oltre al World Password Day, il 4 maggio è un appuntamento speciale per gli appassionati della saga Star Wars che celebrano il “May the 4th Be With You”.

Il grande seguito della saga fa poi sì che centinaia di migliaia di persone continuino a utilizzare i personaggi di Star Wars come parte delle loro password (Yoda, Chewbacca, Han Solo, Darth Vader, Boba Fett, ewok e così via). È un altro indicatore della scarsa attenzione che gli utenti ripongono nella creazione delle password.

Una password accettabile

A questo punto vale la pena riepilogare almeno i tre consigli principali per la creazione di una password accettabile. Il primo è evitare le password facili: occorrono stringhe di almeno 16 caratteri casuali o meglio ancora passphrase lunghe. Inoltre, attivare ovunque possibile l'autenticazione a più fattori (MFA), che rallenta un attaccante grazie alla combinazione di più fattori di autenticazione. Ovviamente resta la già menzionata opzione di fare ricorso a un gestore di password – utile anche per generare la password stesse.

Detto questo, Roncato ricorda che nessun sistema di autenticazione è completamente resistente agli strumenti e alle tecniche di cui dispone un utente malintenzionato altamente motivato. La partita quindi si gioca sul migliore deterrente (MFA) e sulla postura di cyber igiene che ogni utente dovrebbe conoscere e applicare nel professionale come nel privato.