World Password Day 2024, i consigli per scegliere una parola d’ordine sicura

Ecco in questo articolo i consigli da seguire per evitare spiacevoli conseguenze in occasione del World Password Day

La trasformazione digitale che prende ogni settore economico porta all’innalzamento del livello di attenzione sulla sicurezza dei propri dati: in uno scenario di rapido aumento dei cyber attacchi, in crescita del 29% nel 2023 secondo l’Acn, il World Passoword Day 2024 rappresenta un punto di riferimento fondamentale per tutti gli utenti del web.

Si tratta di un appuntamento dedicato a sottolineare e a ricordare l’importanza delle password come prima difesa contro i cyber attacchi. Nonostante la crescente sensibilizzazione sul tema, le violazioni delle credenziali continuano a costituire una delle principali cyber minacce.

World Password Day, ecco qualche consiglio

“Il World Password Day fu inventato da Intel nel 2013”, commenta Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit: “Ormai, dopo oltre un decennio, ci dovremmo aspettare che gli utenti del web abbiano imparato le regole per creare password sicure”. Ma purtroppo ancora non è così.

Dunque, è necessario adottare password robuste e sicure. Ecco consigli e best practice al fine di garantire la protezione dei propri dati personali nel sempre più interconnesso universo digitale.

Quando i confini tra il reale e il virtuale sfumano e i mondi si sovrappongono, la protezione dei dati personali e aziendali diventa un baluardo imprescindibile.

In questa complessa cornice, si riafferma l’importanza di una giornata dedicata a rafforzare la consapevolezza sulla necessità di salvaguardare le proprie credenziali d’accesso. Sono infatti le prime linee difensive del nostro io digitale.

Nonostante l’avvento di tecnologie biometriche avanzate e dei Passkeys, le password rimangono uno strumento primario di protezione. La loro gestione corretta ed efficace è un elemento chiave nella strategia di sicurezza informatica di individui ed organizzazioni.

“Le regole per creare password sicure sono sempre le stesse e piuttosto semplici“, sottolinea Sbaraglia, “password lunghe almeno 12 caratteri, complesse, con lettere maiuscole, minuscole, numeri, caratteri speciali. Inoltre, non devono essere parole di senso compiuto o contenenti informazioni personali o aziendali (per esempio il codice fiscale, una data di nascita o altre amenità)”.

Infine, occorre “soprattutto evitare di ripetere la stessa password in account diversi”, mette in guardia Sbaraglia, “questa è una delle regole più ovvie ma anche una delle meno rispettate. Secondo Microsoft il 73% delle password sono duplicate più volte“.

“Nella pratica, tutte queste regole sono corrette, ma totalmente inapplicabili”, avverte il consulente aziendale cyber security, membro del Comitato Direttivo Clusit, “l’essere umano non è fatto per ricordarsi decine o centinaia di password tutte diverse. Infatti, secondo recenti statistiche, ciascun utente del web ha mediamente circa 100 password da gestire, ed è impossibile ricordarle tutte“.

Ma infatti le password non si devono ricordare. “Nella mia attività di formazione”, continua Sbaraglia, “amo citare sempre questa frase del famoso Troy Hunt: ‘The only secure password is the one you can’t remember’ (letteralmente: l’unica password sicura è quella che non si può ricordare)”.

Le password, pur essendo il primo baluardo contro gli attacchi informatici, spesso vengono sottovalutate o gestite in maniera non ottimale, divenendo così il tallone d’Achille della nostra sicurezza digitale. Ecco perché spesso si consiglia l’uso di un gestore di password oltre all’attivazione dell’autenticazione a due fattori. “Se l’unica password sicura è quella impossibile da ricordare, sembrerebbe dunque un problema senza soluzione”, mette in evidenza Sbaraglia.

“Invece, la soluzione esiste”, avvisa Sbaraglia: “E sono i password manager, applicazioni fatte apposta per conservare in modo sicuro e crittografato le centinaia di password che ci troviamo a dover gestire. Essi rappresentano ancora oggi il miglior compromesso tra sicurezza e praticità“.

Ma nessuna misura è infallibile. La formazione continua e l’aggiornamento sulle nuove minacce e tecniche di attacco sono imprescindibili. Infatti aiutano a mantenere un alto livello di protezione.

Una password robusta, infatti, non basta. La sua regolare modifica e l’uso combinato con altri metodi di verifica dell’identità (autenticazione a due fattori o multi-fattore) fanno la differenza nel tutelare i nostri dati.

Nell’era digitale in cui viviamo, ogni giorno dovrebbe essere un World Password Day. Infatti non è solo una festività nel calendario tecnologico, bensì un monito che sottolinea l’importanza critica delle misure di sicurezza online.

L’attenzione e l’impegno nella creazione di queste chiavi digitali non dovrebbe mai scemare. I consigli e le best practice condivisi sono espressione di un approccio olistico alla sicurezza informatica.

Non bisogna solo scegliere combinazioni complesse, ma occorre anche gestirle in modo responsabile ed evoluto. Questo potrebbe fare la differenza tra una navigazione pacifica e l’incubo della violazione dei propri dati personali o aziendali.

Ricordiamoci, quindi, in occasione del World Password Day 2024 e per sempre, che una password sicura non è solo un dettaglio burocratico, ma è fondamentale nella difesa del nostro mondo digitale.

Anche dal recente rapporto Active Adversary di Sophos emerge che l’accesso remoto autorizzato continua ad essere una delle principali fasi d’esordio degli attacchi, inclusi gli attacchi ransomware.

Nel 2023, per la prima volta, le credenziali compromesse hanno rappresentato la porta di accesso principale per attacchi cyber, provocando furto di dati ed attacchi ransomware.

Oltre la metà (56%) degli attacchi analizzati hanno preso il via da una password finita nelle mani di cyber criminali (+26% nel 2023 rispetto al 2022). L’autenticazione a più fattori si conferma dunque una contromisura decisiva per proteggere da entrambe le minacce.

Tuttavia, “limitarsi a parlare solo di password nel 2024 è sbagliato“, mette in guardia Giorgio Sbaraglia, “perché dobbiamo essere consapevoli che tutti i sistemi di autenticazione sono vulnerabili se basati solo sulla password”.

Per questo motivo, “diventa fondamentale – e assolutamente necessaria – l’autenticazione a più fattori, cioè la MFA (Multi-Factor Authentication)“, evidenzia Sbaraglia: “secondo Microsoft, la MFA riduce del 99,9% la probabilità che un account venga compromesso“.

Il futuro va verso un mondo senza password (“passwordless”). Si tratta di “un cambio di paradigma reso necessario dall’incapacità delle persone ad usare le password in modo sicuro”, avverte Sbaraglia.

“Proprio nel World Password Day di due anni fa (5 maggio 2022), Apple, Google e Microsoft hanno annunciato il progetto Passkeys, uno standard di accesso senza password (passwordless) creato da FIDO Alliance e dal World Wide Web Consortium (W3C)”, ricorda ancora Sbaraglia.

“La nuova funzionalità consentirà a siti web e app di offrire agli utenti un sistema di autenticazione senza password, utilizzando modalità di autenticazione biometrica attraverso tecniche di crittografia a chiave pubblica ed un autenticatore FIDO. Nella pratica sarà il nostro smartphone“, spiega ancora l’esperto.