| Undefined
La Passwordless Authentication è un metodo di autenticazione che permette a un utente di accedere a un’applicazione o a un sistema informatico senza più dover digitare sequenze alfanumeriche come password.
Per rafforzare ulteriormente la sicurezza, l’autenticazione passwordless spesso è impiegata combinando l’autenticazione multi fattore (MFA) e delle soluzioni di tipo Single Sign-On (SSO).
Si tratta dunque di un metodo di autenticazione che verifica l’identità di un utente utilizzando un fattore diverso rispetto alla tradizionale coppia di credenziali. Alcuni dei mezzi più comuni di autenticazione senza password utilizzati dalle organizzazioni includono:
- il riconoscimento delle impronte digitali o di altri indicatori biometrici (scansione della retina o del volto);
- l’autenticazione usando app “Authenticator”;
- l’autenticazione passwordless via SMS e e-mail;
- l’uso di token hardware o dispositivi USB;
Basterà sbloccare ad esempio lo smartphone con il sistema prescelto e sarà il dispositivo stesso a garantire l’identità dell’utente comunicando una chiave univoca (passkey) protetta con crittografia.
Crittografia asimmetrica e FIDO
I metodi di autenticazione passwordless si basano essenzialmente sulla crittografia a chiave asimmetrica che prevede l’impiego di una chiave pubblica fornita durante la registrazione ad un servizio di autenticazione (server) e di una chiave privata che viene memorizzata sul dispositivo di fiducia dell’utente (client) e che può essere accessibile ad esempio solo fornendo una prova d’identità sicura tramite un secondo fattore.
Tale fattore sarà l’elemento che verrà verificato ad ogni nuovo accesso e qualora le relative informazioni siano state precedentemente immagazzinate, l’utente verrà autenticato. Ciò consente agli utenti di non avere più bisogno di una password.
Secondo quanto definito dal Fast Identity Online Alliance (FIDO) l’autenticazione viene così delegata agli endpoint, lasciando all’utente la possibilità di scegliere attraverso vari metodi di riconoscimento.
Passwordless Authentication, quali i possibili vantaggi
Gli standard aperti e definiti dalla FIDO Alliance già supportati dalle principali piattaforme consentirebbero di superare le vulnerabilità a cui sono soggetti i metodi tradizionali di autenticazione e di risolvere i problemi legati alla gestione delle password, al phishing, ad attacchi di tipo Credential Stuffing e Man-in-the-middle (MitM).
Verizon Enterprise nel suo Data Breach Investigations Report (DBIR) 2020 (https://enterprise.verizon.com/en-gb/resources/reports/2020-data-breach-investigations-report.pdf), ha osservato infatti che l’80% delle violazioni dei dati vengono perpetrate attraverso tecniche di forza bruta o addirittura sfruttando credenziali perse o rubate.
L’utilizzo ad esempio di un sistema di riconoscimento con indicatori biometrici complicherebbe notevolmente la possibilità, ad attori malintenzionati, di carpirli e/o riprodurli come spesso accade per le credenziali tradizionali.
L’approccio passwordless consentirebbe di ovviare anche al problema di adottare per comodità abitudini per niente sicure come ad esempio usare la stessa password per accedere a più servizi online, mettendo a serio rischio la sicurezza e la privacy della propria identità digitale.
Un problema questo, tutt’altro che superato ma che potrebbe essere attenuato con l’impiego di un buon password manager (https://f3rm1.cloud/articoli/come-gestire-e-proteggere-al-meglio-le-proprie-password--l---uso-dei-password-vault). Un sondaggio di Specops Software (https://specopssoft.com/blog/password-security-survey-reveals-accounts-at-risk/?utm_source=Infosecurity&utm_medium=blog&utm_campaign=Infosecurity%20Magazine%20blog) avrebbe rilevato che:
- Solo il 22,58% degli utenti intervistati ha dichiarato che utilizza password completamente diverse per i propri account;
- il 29,03% del campione ha dichiarato che non utilizza più di una password per i propri account (significando che ha riutilizzato la stessa password per più servizi).
- Il resto ha affermato di aver utilizzato lievi variazioni della stessa password per i propri account.
Pertanto la Passwordless Authentication oltre a migliorare l’esperienza dell’utente fornendo un accesso unificato a tutte le applicazioni e servizi, rafforzerebbe la sicurezza riducendo il rischio di furto di credenziali e impersonificazione, eliminando anche la necessità di proteggere e gestire le password.
Cosa possono fare le aziende
Poiché i problemi relativi alla possibile compromissione delle credenziali sono uno degli aspetti più preoccupanti in ambito sicurezza, le aziende dovrebbero dotarsi di un sistema di autenticazione passwordless per:
- migliorare la sicurezza degli accessi e ridurre l’esposizione al rischio di violazioni dei dati, poiché elimina la necessità di memorizzare le chiavi di accesso sul server della piattaforma. Le credenziali di accesso, infatti, sono legate a un dispositivo specifico o a un attributo intrinseco dell’utente;
- migliorare l’usabilità e l’user experience. Gli utenti non sono più tenuti a ricordare password complicate o a rinnovarle periodicamente né sono costretti a dimostrare la loro identità in diversi modi per ottenere l’accesso alle applicazioni e ai sistemi aziendali;
- ridurre i costi. Con l’autenticazione passwordless non è necessaria l’archiviazione e la gestione delle password. Ciò riduce drasticamente i costi legati alla sicurezza informatica. Secondo un’indagine Infosecurity Magazine (https://www.infosecurity-magazine.com/opinions/how-much-passwords-cost) ammonterebbero a oltre $ 945.000 annui i costi delle organizzazioni per il supporto relativo alle password. Un onere finanziario per le piccole e medie imprese che si aggiunge anche ai costi relativi alla gestione degli endpoint e delle applicazioni;
- la semplicità di integrazione in sistemi già esistenti.
Esistono diverse aziende che offrono questi servizi, un’interessante applicazione la potete trovare qui: https://www.bit4id.com/soluzioni/4gate/ .
Creare le condizioni per un progressivo superamento dell’autenticazione tradizionale
Il lavoro ibrido ha sicuramente accelerato l’adozione in azienda di strategie Zero Trust per la sicurezza della propria rete sempre più decentralizzata ed estesa. Ma questi approcci richiedono soluzioni di sicurezza flessibili e scalabili in grado di controllare l’accesso di ogni dispositivo e ogni utente.
In questo scenario l’implementazione di una soluzione che incorpori Passwordless, MFA e SSO con l’identità digitale sono da considerare come punti fondamentali da cui partire per rendere questo cambiamento possibile permettendo di godere dei vantaggi di ciascuna tecnologia e al contempo di aumentare la sicurezza e semplificando le operazioni IT.
Alla base di tutto comunque c’è sempre da considerare il fattore umano. I dipendenti infatti preferiscono la convenienza alla sicurezza, secondo il concetto noto come “security friction”: la sicurezza è spesso vista come un qualcosa che complica lo svolgimento del lavoro, piuttosto che come una misura di protezione essenziale.
Pertanto, le aziende dovrebbero lavorare anche per cercare di creare tutte le condizioni per semplificare sempre di più la transizione e portare verso un progressivo superamento dell’autenticazione tradizionale, sempre nel pieno rispetto delle implicazioni sulla privacy e la sicurezza dei dati che questo cambiamento può comportare. La vera sfida sarà quella di educare i consumatori alle alternative, facendoli abituare ad un cambiamento graduale.