A cura di Laura Balboni, senior product marketing manager di CyberArk
Anche se la cybersecurity insegue da anni un futuro senza password, ancora oggi, nel 2025 è necessario reimpostarle, riutilizzarle e subire violazioni legate a loro.
La realtà è questa: nonostante tutti i discorsi sull’autenticazione passwordless, viviamo ancora in un mondo che dipende dalle password, con le credenziali che rimangono il vettore di attacco principale. Mentre le aziende cercano incessantemente di colmare il divario tra il punto in cui sono e quello in cui vorrebbero essere, si rendono conto che il modo in cui gli utenti interagiscono con le password conta tanto quanto i controlli di sicurezza che le proteggono.
Questa situazione solleva una domanda scomoda, ma necessaria: l’esperienza utente (UX) è ancora più critica della sicurezza? La risposta potrebbe essere sì, almeno se si desidera essere protetti in modo completo.
Come una UX imperfetta delle password rappresenta un rischio per la sicurezza
La maggior parte delle vulnerabilità di sicurezza legate alle password non sono tecniche, ma umane (e totalmente comuni). Le persone riutilizzano password deboli, le scrivono, le memorizzano in fogli di calcolo, le condividono in modi non sicuri. Perché? Perché ricordare e gestire tutte le proprie password non è solo un’esperienza frustrante, è praticamente impossibile.
Secondo un’indagine condotta da CyberArk sui rischi dei dipendenti, il 67% ha ammesso di aggirare le policy di sicurezza aziendale per migliorare la produttività, attuando comportamenti rischiosi, ad esempio inviare documenti di lavoro a e-mail personali, condividere password e installare applicazioni non autorizzate. Non si tratta semplicemente di negligenza, ma di un sistema che non funziona in modo ottimale per le persone che lo utilizzano.
Abbiamo passato troppo tempo a incolpare gli utenti in caso di fallimenti della sicurezza. Forse è il momento di cambiare il nostro modo di pensare: smettiamo di incolpare l’utente e iniziamo a progettare una tecnologia che si adatti al suo modo di agire. I responsabili della sicurezza non possono più permettersi di ignorare l’importanza dell’esperienza. Se la soluzione non si rivela funzionale, gli utenti tenderanno ad aggirarla – ed è qui che il rischio aumenta.
Fornire agli utenti un’esperienza senza password, senza eliminarle, per ora
Potremmo non vivere in un mondo tecnicamente senza password, almeno per il momento, ma è possibile offrire agli utenti un’esperienza in cui non debbano mai visualizzare, digitare, ricordare o reimpostare una.
Ciò non richiede un passaggio completo ai moderni protocolli di autenticazione o la revisione di ogni app legacy, che non sarebbe ragionevole per nessuna azienda, ma solo di rendere le credenziali invisibili agli utenti, iniettandole nei flussi di lavoro e proteggendole durante l’intero ciclo di vita del login e della sessione. Questo si tramuta in un’esperienza senza password, anche se una esiste ancora dietro le quinte.
Quando l’esperienza è così agile, gli utenti smettono di trattare le password come un problema da aggirare ed è allora che la sicurezza inizia a lavorare insieme a loro, anziché contro di loro.
I vantaggi di una sicurezza guidata dall’esperienza
Adottare una sicurezza basata sull’esperienza non significa compromettere i controlli, ma progettarli affinché si adattino naturalmente ai flussi di lavoro degli utenti, in modo che non debbano ricordare dozzine di password, accedere manualmente ad app non gestite o trovare scorciatoie non sicure.
E quando la difficoltà scompare, si dissolve anche il rischio:
- Nessun riutilizzo di credenziali deboli
- Nessuna memorizzazione di password in gestori personali o browser
- Nessuna condivisione su piattaforme di messaggistica o e-mail
- Nessuna perdita di accesso quando un dipendente lascia l’azienda
Allo stesso tempo, i team di sicurezza ottengono maggiore controllo e possono applicare le policy legate alle password, monitorare l’uso delle credenziali, limitare la condivisione e rilevare quelle compromesse in tempo reale. Questo perché la gestione delle password non è, o non dovrebbe essere, una funzione isolata all’interno della cybersecurity. L’autenticazione sicura, senza password o semplicemente con password invisibile, avviene durante tutto il percorso digitale degli utenti, non solo al momento del login. La sicurezza delle identità riunisce gestione delle password, Single Sign-On (SSO), autenticazione multi-fattore adattiva (MFA), gestione degli accessi privilegiati (PAM) e sicurezza della sessione in un unico stack integrato.
La sicurezza basata sull’esperienza funziona perché non agisce solo sulla protezione, ma si basa sull’adozione. Se gli utenti oppongono resistenza, non proteggerà nulla, se invece vi si affidano, la sicurezza scalerà.
Secondo il report CyberArk 2025 Identity Security Landscape, l’87% delle organizzazioni ha subìto due o più violazioni legate all’identità lo scorso anno. In questo senso, la possibilità di offrire user experience migliori non è più un “nice-to-have”, ma diventa una linea di difesa fondamentale.
La user experience al primo posto – insieme alla sicurezza
Una protezione efficace non si ottiene con una buona UX, dipende direttamente da essa.
La maggior parte delle strategie di sicurezza inizia ancora con l’applicazione di pratiche, ma se iniziassero invece con l’empatia? Se si progettassero sistemi che rispettino il modo in cui le persone operano effettivamente e rendano la sicurezza abbastanza invisibile da essere efficace?
Offrire agli utenti un modo più semplice e sicuro di accedere alle applicazioni necessarie per le loro attività riduce i comportamenti rischiosi, colma le lacune sfruttate dagli attaccanti e può aiutare le aziende a scalare l’accesso sicuro senza dover rallentare le proprie risorse. Per proteggere la forza lavoro in modo efficace, non basta solo aggiornare i controlli di sicurezza, ma serve concentrarsi anche sulla user experience.