Al fine di mantenere adeguati standard di sicurezza per la protezione delle risorse e delle informazioni, le imprese si stanno concentrando sull'implementazione di metodi di autenticazione sempre più affidabili e sicuri, che, allo stesso tempo, tengano presenti gli aspetti fondamentali da considerare nella scelta della tecnica più efficace: livello di sicurezza, costi, usabilità.

Da questo punto di vista, il metodo più semplice, economico ed utilizzato al mondo rimane senza dubbio la password: non ha bisogno di componenti tecnici, è facile da creare, è adatta sia per proteggere l’hardware, che per navigare su Internet. Se non usata in modo corretto, però, diventa  un punto debole critico, che rende gli utenti vulnerabili al phishing e ad altri attacchi informatici. Il decalogo è notorio, ma troppo spesso trascurato. E’ fortemente sconsigliato:

• creare password utilizzando testi banali e dati personali;
• utilizzare la stessa password per siti e servizi diversi;
• lasciare in giro foglietti con su scritte le password, memorizzarle in file o inviarle per posta elettronica;
• condividere la propria password con amici o colleghi;
• comunicare volontariamente la password a degli sconosciuti.

Un metodo valido per limitare i rischi ed eludere le tecniche sempre nuove dei criminali informatici, che hanno a disposizione potenze di calcolo sempre maggiori, è quello di scegliere password molto lunghe, almeno 12-16 caratteri, fino ad arrivare a 25, oltre che usare caratteri particolari, come numeri, lettere maiuscole e simboli e modificarle a intervalli regolari.

Sebbene i professionisti della sicurezza sappiano da anni che le password rendono gli utenti vulnerabili, sono stati lenti nell'adottare alcune delle alternative praticabili sviluppate nell'ultimo decennio. Ora sembra che il movimento sia in una fase di accelerazione e che all'orizzonte si profili una gamma di autenticazioni più efficienti. Gli strumenti ci sono, ma presentano pro e contro:

1. Token di sicurezza: garantiscono un discreto grado di sicurezza perché presuppongono la disponibilità di un determinato elemento aggiuntivo durante l'autenticazione. I token non sono connessi a Internet e generano password monouso. Nonostante gli ovvii vantaggi, l'implementazione di questa tecnica è un processo piuttosto costoso, dato che, in un’azienda, ogni dipendente dovrebbe avere un proprio token e portarlo con sé in ogni spostamento.
2. Autenticazioni basate sull'uso dei telefoni cellulari:
• Autenticazione push: quando un utente interroga un server, riceve immediatamente un messaggio che contiene una richiesta di verifica. Questo metodo richiede solo che l'utente risponda alla notifica inviata al proprio dispositivo mobile.
• Token mobili: assomigliano ai token hardware, tuttavia, invece di fare affidamento su un dispositivo aggiuntivo, utilizzano uno smartphone per generare una password singola. Naturalmente, il fatto che le password una tantum risiedano su un dispositivo connesso a Internet le rende potenzialmente vulnerabili.
• Autenticazione SMS: consiste nell’invio di un messaggio SMS al cellulare dell'utente contenente una password singola. Il vantaggio più evidente è che l'utente non deve installare alcuna app aggiuntiva sul proprio dispositivo. Uno degli svantaggi più gravi è l'affidabilità relativamente bassa, poiché le password inviate tramite SMS possono essere compromesse in diversi modi.
3. Tecnologie biometriche: utilizzano alcune caratteristiche biologiche dell’utente, come le impronte digitali, il riconoscimento facciale o la scansione dell’iride. La biometria offre un'esperienza utente migliore, per velocità e convenienza, ma presenta, tuttavia, alcune carenze: molti sistemi hanno problemi di precisione e sono piuttosto costosi. Inoltre, alcuni dati biometrici potrebbero essere falsificati usando foto ad alta risoluzione.
4. FIDO (Fast IDentity Online): è un insieme di standard aperti del settore che riduce la dipendenza dalle password. FIDO supporta l'autenticazione biometrica, incluso l'impronta digitale e il riconoscimento facciale, nonché token di sicurezza USB, smart card e altro.

È possibile che le password affonderanno nell'oblio molto presto, con il possibile rischio che a indirizzare le scelte siano comodità ed economicità, piuttosto che sicurezza. Una cosa è certa: che la forza trainante di questa rivoluzione sia offrire un’esperienza più fluida all’utente finale o rafforzare la sicurezza della metodologia usata, la gara è sicuramente in corso.