Gli esseri umani non sono stati progettati per gestire le password. È una frase che suona provocatoria, ma descrive bene un problema strutturale: chiediamo alle persone di ricordare decine (a volte centinaia) di credenziali, di cambiarle spesso, di renderle “complesse”, di non riutilizzarle e di conservarle al sicuro. Il risultato è noto: password deboli, ripetute, annotate dove non dovrebbero, condivise “per comodità”, recuperate troppe volte tramite procedure fragili. Non è un fallimento individuale: è un modello che, a fronte delle ultime novità in ambito digitale, semplicemente non regge.
Per questo, il World Password Day – che quest’anno si è celebrato il 7 maggio – rischia di diventare una ricorrenza più simbolica che utile. Oggi, infatti, avrebbe più senso parlare di Identity Management Day: una giornata dedicata non alla “password perfetta” (che nella pratica raramente esiste), ma alla gestione dell’identità digitale nel suo complesso.
Quest’ultima, infatti, non si limita alla semplice combinazione di caratteri che digitiamo per accedere a un servizio, ma comprende l’insieme di strumenti, segnali e controlli che permettono di verificare se chi sta tentando di autenticarsi è davvero la persona che dichiara di essere.
Indice degli argomenti:
Password e intelligenza artificiale, un rapporto complesso
A rendere la situazione ancora più complessa, negli ultimi anni si sono aggiunti fattori che amplificano i rischi. L’intelligenza artificiale, ad esempio, sta industrializzando alcune fasi dell’attacco: dalla generazione di campagne di phishing più credibili, fino all’automazione di tentativi di accesso e alla scalabilità delle frodi. Sullo sfondo, la crittografia quantistica e l’evoluzione del calcolo quantistico alimentano un dibattito ulteriore sulla resilienza futura di alcuni meccanismi di sicurezza. Al netto delle tempistiche reali, il messaggio per organizzazioni e utenti è chiaro: affidarsi a un solo fattore, per giunta fragile e “umano-centrico” come la password, è una scelta sempre meno consigliabile.
È forse allora giunto il momento di derogare parzialmente alle “regole classiche” ripetute per anni (lunghezza, complessità, frequenza di cambio, divieto assoluto di riuso) introducendo finalmente contromisure più efficaci e gestibili. Ciò non significa, sia chiaro, abbassare la guardia; piuttosto, la scelta sarebbe funzionale a spostare il baricentro dalla teoria alla difesa reale, quella che resiste agli errori umani e agli attacchi su larga scala.
L’autenticazione a due fattori (MFA), Sms e token fisici
Il primo passo, ormai non più negoziabile, è l’autenticazione a due o più fattori (2FA o MFA). Anche qui, però, serve chiarezza: la MFA è fondamentale, ma certamente non miracolosa. È un requisito minimo che riduce drasticamente l’efficacia del furto di password, ma può essere implementata in modo più o meno robusto. La scelta del secondo fattore, dunque, fa la differenza tra un controllo “di facciata” e una protezione concreta.
A questo proposito e in termini operativi, la raccomandazione più solida per la maggior parte degli scenari è abilitare la MFA tramite app di autenticazione. È una misura relativamente semplice, ormai supportata dalla quasi totalità dei servizi, ma ha il vantaggio di alzare subito l’asticella.
Al contrario, gli Sms restano un’opzione da considerare solo come ripiego: sono esposti a intercettazioni e a tecniche come il SIM swapping, e diversi fornitori ne scoraggiano l’uso proprio per i limiti intrinseci del canale.
Quando possibile, la scelta migliore è spingersi oltre e utilizzare token fisici o metodi resistenti al phishing. Il motivo è concreto: anche uno smartphone, per quanto “personale”, può essere compromesso da malware; inoltre, l’utente può essere indotto a inserire codici su siti fasulli. Soluzioni che vincolano l’autenticazione al dominio corretto o a un dispositivo dedicato riducono sensibilmente questo rischio.
Password manager, passkey, Pin “intelligenti” e accessi passwordless
Accanto alla MFA, c’è poi uno strumento spesso sottovalutato: il password manager. L’obiezione che spesso sorge spontanea suona, più o meno, così: “se mi bucassero quello, perderei tutto”; questa soluzione può però essere affrontata dal punto di vista opposto: centralizzare significa anche poter proteggere bene un solo punto, con meccanismi robusti, e soprattutto poter generare e usare password realmente uniche e complesse per ogni servizio. È un salto di qualità decisivo, soprattutto dove la MFA non è disponibile o non è attivabile.
Infine, sono già disponibili alternative che vanno nella direzione giusta: passkey, PIN “intelligenti” e, in ambito aziendale, accessi passwordless. Dalle soluzioni integrate nei sistemi operativi (come Windows Hello) fino a biometria e certificati, l’obiettivo è ridurre la dipendenza dalla password e rendere l’accesso più sicuro e meno “umanamente fragile”. In contesti enterprise, queste opzioni possono superare la “MFA semplice” proprio perché più difficili da aggirare su larga scala.
Conclusioni
Il punto, alla fine, è meno tecnologico di quanto sembri. Gli strumenti ci sono, che ne abbiano bisogno case, PMI o grandi organizzazioni. Quello che spesso manca, tuttavia, è la consapevolezza: riconoscere che la password da sola non basta più, scegliere la combinazione di soluzioni più adatta al proprio contesto e adottarla davvero, senza rimandare. Perché la sicurezza digitale, oggi, non è più un esercizio di memoria: è gestione dell’identità.
