Vecchia password addio. Ecco perché, secondo Cisco, l’autenticazione a più fattori è più sicura

Utilizzare la password per accedere agli account online non è più sicuro come lo era fino a qualche tempo fa. Anzi: attualmente la password rappresenta uno dei punti deboli più utilizzati dai cybercriminali per entrare in possesso dei nostri dati. Molti utenti utilizzano la stessa password per più servizi o ne scelgono di troppo semplici. Altri le salvano in modo poco sicuro per poterle ricordare. Il risultato? Basta una sola violazione per mettere a rischio più account contemporaneamente.

Un dato impressionante: su un singolo forum criminale sono state trovate 244 milioni di password trapelate. E la metà degli utenti Internet nel mondo è stata esposta ad attacchi basati sul riutilizzo delle credenziali.

Per questo motivo, sempre più aziende e esperti di sicurezza stanno adottando l’autenticazione senza password. In pratica, si accede ai propri account usando metodi più sicuri e comodi, come l’impronta digitale, il riconoscimento facciale o una chiave fisica collegata al dispositivo. Questi sistemi semplificano la vita degli utenti e, allo stesso tempo, rendono il lavoro degli hacker molto più difficile. Non solo: offrono una protezione efficace contro truffe come il phishing e riducono i rischi legati a password deboli o rubate.

I grandi miti sull’autenticazione senza password

Anche se i vantaggi sono evidenti, molte persone restano ancora scettiche. Attorno all’autenticazione senza password circolano infatti alcuni falsi miti che frenano gli utenti dal fare il passo successivo e abbandonare definitivamente le vecchie password.

1. L’autenticazione senza password è meno sicura dell’autenticazione a più fattori (MFA). In realtà è vero il contrario. L’autenticazione senza password è di fatto una forma di autenticazione multifattoriale: verifica sia il dispositivo utilizzato, sia qualcosa che solo l’utente può fornire – come l’impronta digitale, il volto o un PIN. Durante l’accesso, il dispositivo sblocca una chiave digitale unica che non viene mai condivisa online. I dati biometrici o il PIN restano memorizzati in modo sicuro sul dispositivo e non viaggiano in rete. Questo approccio rende estremamente difficile per un cybercriminale rubare o imitare un accesso. In pratica, offre la stessa protezione dell’MFA, ma con un’esperienza più semplice e senza la necessità di ricordare o digitare una password.
2. Un PIN è solo un’altra password. A prima vista, un PIN può sembrare una semplice password. In realtà funziona in modo molto diverso, e soprattutto più sicuro. Il PIN non viene mai inviato su Internet né archiviato su server esterni: serve solo a sbloccare il dispositivo localmente, direttamente sul telefono o sul computer. Questo significa che non c’è nulla che un hacker possa rubare da remoto. Inoltre, anche se il PIN può essere breve, il dispositivo limita il numero di tentativi possibili. Chi prova a indovinarlo rischia di bloccare tutto, e per farlo dovrebbe comunque avere fisicamente il dispositivo tra le mani. Per una protezione ancora più elevata, il PIN può essere affiancato da metodi biometrici come l’impronta digitale o il riconoscimento facciale, che rendono l’accesso ancora più sicuro e personale.
3. Le password sono più sicure dei dati biometrici. I sistemi biometrici moderni – come Face ID di Apple o Windows Hello – utilizzano tecnologie avanzate come la mappatura 3D, la luce a infrarossi e il rilevamento della “vivacità”, cioè la capacità di riconoscere se davanti al dispositivo c’è una persona reale. Tutto questo rende estremamente difficile, quasi impossibile, ingannare il sistema. Nell’autenticazione senza password, il volto o l’impronta digitale servono solo a sbloccare una chiave privata memorizzata sul dispositivo e mai condivisa online. Questo significa che la chiave non può essere rubata né riutilizzata su altri siti. Poiché l’intero processo avviene in locale, la biometria offre una protezione efficace anche contro gli attacchi remoti che spesso colpiscono le password tradizionali.
4. I dati biometrici sono segreti che possono essere divulgati. Molte persone temono che usare la biometria – come l’impronta digitale o il riconoscimento facciale – significhi consegnare i propri dati personali, esponendoli al rischio di furto. Questo timore nasce spesso dalle notizie sulla sorveglianza biometrica, dove le informazioni vengono conservate in grandi database centrali. Ma l’autenticazione senza password funziona in modo diverso: i dati biometrici restano sempre sul dispositivo e servono solo a sbloccare una chiave di sicurezza locale. Queste informazioni non vengono mai inviate online né condivise con altri sistemi. La differenza è fondamentale: la sorveglianza biometrica identifica le persone da remoto confrontando i dati con milioni di record, mentre l’autenticazione biometrica – come Face ID o Windows Hello – conferma semplicemente che sei tu a usare il dispositivo. Tutto avviene in locale, mantenendo i dati privati e al sicuro.
5. Il passwordless non protegge dal phishing. Un sistema senza password integra già diverse difese contro le moderne tecniche di phishing. Ogni accesso avviene tramite una chiave digitale unica, che resta memorizzata solo sul dispositivo utilizzato e non viene mai inviata al sito web. Inoltre, le soluzioni passwordless controllano automaticamente che l’utente stia visitando un sito legittimo e non una copia ingannevole: è il browser a verificare l’autenticità prima di consentire al dispositivo di completare l’accesso. In più, solo il software affidabile del dispositivo può avviare la richiesta di accesso. App sospette o tentativi di “push phishing” vengono bloccati sul nascere, rendendo gli attacchi molto più difficili e nella maggior parte dei casi completamente inefficaci.

In conclusione: accessi più facili e sicuri per tutti

L’autenticazione senza password non è solo un’evoluzione tecnologica, ma un passo avanti verso un modo più semplice e sicuro di proteggere le identità degli utenti. Ridurre l’utilizzo delle password significa diminuire i rischi legati a furti o truffe online e rendere la sicurezza più accessibile a tutti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione