Quando le password non bastano più: la moderna sicurezza degli accessi in azienda e la sua applicazione
4 min

Quando le password non bastano più: la moderna sicurezza degli accessi in azienda e la sua applicazione

La classica combinazione di nome utente e password ha ormai fatto il suo tempo. Quella che in passato era considerata una protezione sufficiente, oggi si rivela spesso una strada spianata per gli hacker. Per questo motivo, la moderna sicurezza degli accessi non si limita alla sola creazione di password forti, ma unisce autenticazione, diritti di accesso, verifica dei dispositivi e una governance chiara.

Videocorso: riprendete il controllo

Avete davvero il controllo sui vostri dati? Scoprite nel videocorso gratuito con i nostri esperti come creare trasparenza e ridurre le dipendenze da fornitori esterni. In moduli brevi, imparerete le basi essenziali, i rischi, gli approcci e le soluzioni per la sicurezza dei dati nelle PMI.

Inserire una password è un’operazione rapida. Ed è proprio questo a renderla pratica e insieme rischiosa. In molte aziende, dietro a un singolo login si cela molto più di una semplice applicazione. L’account di posta elettronica rappresenta una questione piuttosto delicata. Chi riesce ad accedervi, infatti, può resettare le password o utilizzare i messaggi in modo abusivo. In questo caso, l’account compromesso non costituisce il danno in sé, bensì il punto di partenza.

Lavoro semplificato per i criminali informatici

Gli hacker non hanno più bisogno di lambiccarsi il cervello per indovinare le password. Tra fughe di dati, campagne di phishing e database obsoleti, molte credenziali sono già in circolazione. Questi elenchi di dati di accesso compromessi sono oggetto di compravendita e vengono utilizzati dai criminali informatici in modo automatizzato. Se una combinazione funziona, l’hacker ha fatto centro. E questo succede perché, molto spesso, le stesse password vengono riutilizzate per più account.

A ciò si aggiunge il fatto che le persone sono pragmatiche: proprio quando si costringono i collaboratori a cambiare password di frequente, questi tendono a ricorrere a degli schemi. Così, ad esempio, «Estate2025» diventa «Estate2026».

Ecco le 10 password più utilizzate nel 2025:

  1. dominaria
  2. admin
  3. purzi123
  4. Divinorum88
  5. 123456
  6. chocolat36
  7. 1a2s3d4f5g6h
  8. Password
  9. 123456789
  10. pascal87


Fonte: Le password più frequentemente individuate nei furti di dati, NordPass

Passkey: chiavi digitali al posto delle password

L’autenticazione a più fattori innalza la barriera. Eppure nemmeno questa protezione è infallibile. I codici via SMS sono considerati deboli, mentre le notifiche push rischiano di essere confermate per errore. Inoltre, con le odierne pagine di phishing, gli hacker riescono spesso a intercettare direttamente anche il secondo fattore.

Il passo più coerente è rappresentato dalle passkey, che sostituiscono la classica password con una coppia di chiavi. La chiave pubblica risiede presso il fornitore, mentre quella privata rimane sul dispositivo. Lo sblocco avviene tramite smartphone, ad esempio mediante impronta digitale o PIN. L’aspetto cruciale è che non viene trasmessa alcuna password: l’accesso viene effettuato per mezzo della chiave privata memorizzata sul dispositivo, non lasciando così a disposizione dati da inserire in una pagina contraffatta e riutilizzare in un secondo momento.

Ciò riduce drasticamente il valore degli elenchi di credenziali rubate. Per andare a segno, gli hacker avrebbero infatti bisogno anche dell’accesso al dispositivo associato e dello sblocco locale. Non si tratta, è vero, di uno scenario impossibile, ma di sicuro molto più complesso rispetto a un tentativo di login a distanza.

Migliorare la protezione attraverso i diritti di accesso

La sicurezza degli accessi, tuttavia, non si esaurisce con il login. La seconda domanda da porsi è: cosa è autorizzata a fare una persona dopo aver effettuato l’accesso? In passato la distinzione era spesso netta: fuori non sicuro, dentro affidabile. Chi si trovava all’interno della rete aziendale interna poteva muoversi in parte senza ostacoli. Dal punto di vista degli aggressori era una situazione fin troppo comoda: bastava un solo account hackerato per bloccare l’intera rete aziendale.

Oggi, invece, servono linee guida molto più stringenti. Il principio «Least Privilege» parte proprio da qui: i collaboratori ricevono solo le autorizzazioni di cui hanno bisogno per svolgere il proprio lavoro. Nulla di più. Gli addetti delle Risorse Umane hanno bisogno di accedere ai dati HR, non a tutti i sistemi informatici. Il personale esterno addetto al progetto necessita di permessi temporanei, non di accessi illimitati e perpetui.

Sembra banale, ma richiede un lavoro costante. I ruoli si evolvono e le responsabilità cambiano, mentre i diritti rimangono invariati. È così che si creano vulnerabilità latenti. La gestione degli accessi è quindi una questione di governance, non un progetto IT isolato.

Un pacchetto di misure per la moderna sicurezza informatica

L’approccio Zero Trust spinge questo concetto ancora oltre. La premessa è scomoda, ma realistica: un account può essere compromesso in qualsiasi momento. Pertanto, nessun accesso viene mai considerato affidabile in automatico. Vengono verificati l’identità, il dispositivo, l’ubicazione, l’orario e il contesto. E solo quando tutti questi fattori convergono, l’accesso viene allora concesso.

La conclusione chiave resta lucida: le password non sono scomparse, ma non portano più il peso della difesa da sole. La moderna sicurezza degli accessi combina autenticazione forte, passkey, modelli di ruolo sempre aggiornati, verifiche delle autorizzazioni e controlli circostanziati. In tutto questo, la tecnologia è solo una parte del quadro: senza processi e governance, anche la strategia migliore rimane lacunosa.

Videocorso: riprendete il controllo

Avete davvero il controllo sui vostri dati? Scoprite nel videocorso gratuito con i nostri esperti come creare trasparenza e ridurre le dipendenze da fornitori esterni. In moduli brevi, imparerete le basi essenziali, i rischi, gli approcci e le soluzioni per la sicurezza dei dati nelle PMI.

Non perdetevi i nostri contenuti!

Ricevete a scadenza regolare interessanti articoli , whitepapers e indicazioni su eventi, riguardanti temi d’attualità nell’ambito IT.

Leggete ora