Qualcosa di buono il COVID-19 potrebbe lasciarlo in eredità: l'abolizione delle password. Non si può parlare di merito, ma è un effetto collaterale positivo. Le password, metodo di sicurezza poco sicuro che da anni mostra la propria inefficacia, durante la pandemia sono state la porta d'ingresso per centinaia di attacchi alla sicurezza (andati a buon fine). 

Complice lo smart working forzato e gli amministratori IT sopraffatti nella gestione della sicurezza e dei cyber attacchi, durante il lockdown i data breach si sono moltiplicati. Nel primo trimestre 2020 si è registrato un +273% di dati esposti (dato Risk Based Security). Prima causa sono state le password poco sicure, facili da forzare con un attacco brute force.

Impossibile citare tutti gli studi condotti sull'inefficacia delle password, sul vizio di riciclarle e sul fatto che seguire pedissequamente il "manuale della password perfetta" sia in alcuni ambienti un ostacolo alla produttività. Il fatto è che così non funziona. La crociata per obbligare i dipendenti a usare chiavi complesse, uniche e da cambiare spesso è stata persa da troppo tempo. 

Tanto vale rassegnarsi e cambiare registro, affidandosi agli strumenti che già esistono e che sono sicuramente più efficaci. Certo, per farlo servono investimenti, che non si possono più procrastinare. A dirlo è Gartner, secondo cui il 60% delle gradi imprese e il 90% di quelle medie passerà all'autenticazione senza password entro il 2022. Rispetto al 5% del 2018.

Smart working e password

Il motivo di tanta fretta è ancora una volta il cambiamento sociale instillato dal COVID. Con molti dipendenti che lavorano da casa, temporaneamente o permanentemente, aumenta il rischio di violazioni causate dalle password. L'emergenza sanitaria ha obbligato buona parte della forza lavoro allo smart working. Tante aziende prorogheranno questa modalità di lavoro per mesi. In molti casi diventerà la norma.

È quindi necessario rivedere tutta l'organizzazione aziendale in quest'ottica, e la sicurezza è il primo aspetto da considerare. Gli esperti di sicurezza di CyberArk hanno esaminato le abitudini dei lavoratori in smart working e hanno scoperto che spesso la convenienza supera la sicurezza. Convenienza significa riciclare le password (il 93% del campione ha ammesso di riutilizzare le password su numerose applicazioni, dispositivi e account) o salvarle nel browser per non doverle digitare (37%). 

Non si può combattere questo atteggiamento se non ammettendone l'esistenza e modellando di conseguenza le strategie di sicurezza informatica.

Eliminare il problema alla radice

L'autenticazione senza password, per sua natura, elimina il problema dell'uso di password deboli. Offre vantaggi a utenti e aziende. Nel primo caso elimina la necessità di ricordare o digitare password, migliorando l'esperienza utente. Nel caso delle aziende, risolve l'annosa questione dell'archiviazione delle password, aumenta la sicurezza, riduce le violazioni e i costi di supporto.

Quelle indicate non sono previsioni o supposizioni, ma dati di fatto. Le realtà lavorative che hanno già adottato sistemi di autenticazione senza password hanno appurato che gli utenti hanno migliorato la loro interazione con l'azienda. Hanno meno problemi, non contattano più l'assistenza per questioni relative alle password e tengono un comportamento più consono alla sicurezza aziendale.

Connessioni più sicure

L'autenticazione senza password non ha l'unico vantaggio di prevenire i data breach. Come sottolinea Frank Dickson di IDC, senza password è più facile accedere alle applicazioni cloud aziendali in modo sicuro, bypassando la necessità di una VPN. 

Lo scenario proposto da Dickson va oltre la questione delle password. Si aggancia al fatto che progressivamente un numero sempre maggiore di applicazioni aziendali risiederà in cloud. In questo caso sarebbe un controsenso incanalare il traffico in una VPN verso l'azienda, per usare risorse che non sono on-premises. È più sensato e produttivo connettersi direttamente al servizio cloud, con un metodo di autenticazione sicuro.

Fase 2: aziende pronte per il cloud e il lavoro da casa - I benefici del lavoro da casa stanno portando molte aziende a pensare di cambiare il modello di business, sempre più flessibile e cloud oriented.

Così facendo si migliorano contemporaneamente la produttività, l'esperienza d'uso e la sicurezza. Dopo il lockdown, molti lavoratori hanno richiesto un approccio di questo tipo dopo essere stati vittima dei problemi delle VPN.

Un passo avanti verso la sicurezza

In sostanza, l'autenticazione senza password è un passo avanti per lo smart working in sicurezza e per la protezione dei dati aziendali. Non è una panacea per tutti i mali. Può risolvere più problemi contemporaneamente, ma non ci dobbiamo illudere: le password non moriranno. ----------Alcune applicazioni altamente rischiose, come le connessioni agli account finanziari, resteranno protette da password. Anzi, dovrebbero richiedere un'autenticazione multifattore (minimo 2 fattori) per motivi di sicurezza.