Nel contesto del World Password Day, arriva una riflessione critica sul futuro della sicurezza digitale e sulla reale efficacia delle password tradizionali da Alessio Pennasilico, Senior Partner di P4I – Digital360 Advisory (DIGITAL360), che propone un cambio di paradigma: superare la logica delle password per avvicinarsi a un modello centrato sulla gestione delle identità digitali.
Secondo l’esperto, infatti, gli esseri umani non sono naturalmente predisposti a gestire in modo sicuro e corretto credenziali complesse, e il sistema attuale mostra limiti sempre più evidenti.
Dalle password all’Identity Management: un cambio di paradigma necessario
Secondo Pennasilico, il World Password Day è ormai una ricorrenza desueta, e dovrebbe lasciare spazio a un più attuale Identity Management Day, dedicato non alle password in sé, ma alla gestione complessiva delle identità digitali.
Il problema di fondo è strutturale. Da decenni si insiste sulle stesse regole — lunghezza, complessità, cambi frequenti e divieto di riuso — ma la realtà mostra quanto queste pratiche siano difficili da applicare in modo efficace nella vita quotidiana. A complicare ulteriormente lo scenario entrano oggi anche nuove tecnologie come intelligenza artificiale e crittografia quantistica, che rendono ancora più fragile il modello tradizionale di autenticazione.
In questo contesto, secondo Pennasilico, è necessario accettare una deroga controllata alle regole classiche delle password, compensandola con strumenti più moderni, pratici e sicuri.
Le 5 regole per una gestione più sicura delle credenziali
A tal riguardo, Pennasilico individua cinque regole operative per migliorare concretamente la sicurezza degli accessi digitali e ridurre i rischi legati alla gestione delle credenziali.
La prima indicazione è abilitare almeno un’autenticazione a più fattori (MFA) basata su app, che rappresenta oggi uno standard minimo di protezione.
A questa si affianca una seconda regola altrettanto importante: non fidarsi degli SMS come metodo di autenticazione, poiché considerati meno sicuri e più vulnerabili ad attacchi e intercettazioni.
Terzo punto, nel caso si utilizzi l’autenticazione multifattoriale, è preferibile orientarsi verso token fisici, che offrono un livello di sicurezza più elevato rispetto ai sistemi basati su messaggi o notifiche meno protette.
La quarta regola riguarda la gestione quotidiana delle credenziali: è fondamentale utilizzare un password manager, cioè programmi e applicazioni che consentono di archiviare in modo sicuro e crittografato username e password, riducendo il rischio di riutilizzo o perdita delle informazioni.
Infine, la quinta indicazione guarda al futuro della sicurezza digitale: adottare, quando possibile, strumenti avanzati come le passkey, i PIN “intelligenti” e, in ambito aziendale, le tecnologie passwordless, che eliminano del tutto la necessità di password tradizionali, sostituendole con metodi di autenticazione più moderni e robusti.
Nel complesso, la visione proposta da Pennasilico evidenzia come le soluzioni tecnologiche siano già disponibili e mature. Il vero nodo resta la capacità di conoscerle, comprenderle e integrarle correttamente nei propri sistemi di accesso digitale.
