I punti deboli dell’autenticazione tradizionale
A cura di Giulia Tonussi, Lead Cybersecurity Advisor e Jessica Naso, Advanced Cybersecurity Advisor
Non basta richiedere l’inserimento di una password per rendere Il semplice utilizzo delle credenziali di autenticazione (che sono qualcosa che l’utente conosce). Sebbene possa fungere da primo livello di difesa contro accessi non autorizzati, potrebbe non essere sufficiente per garantire un livello di sicurezza adeguato. Secondo il 2023 Consumer Impact Report prodotto da Identity Theft Resource Center (ITCR), più della metà (59%) dei consumatori generici utilizza la stessa password per diversi account; di questi il 56% è stata vittima di furto di identità. La maggior parte dei consumatori ha iniziato ad utilizzare password differenti solo dopo la compromissione delle credenziali e il furto dell’identità.
I dati evidenziano come la forza delle credenziali tradizionali sia spesso minata dalla tendenza delle persone a scegliere password deboli o facilmente indovinabili e l’applicazione di linee guida note per la costruzione di una password – ancor meglio di una passphrase – robusta tipicamente con una combinazione alfanumerica che rispetti una lunghezza minima, l’alternanza di caratteri minuscoli e maiuscoli, caratteri speciali, verifica della presenza della stessa in una cd. blocklist (dizionari reperibili in rete), l’utilizzo della username o di sequenze incrementali, non risolve del tutto il problema.
Aggiungere un livello extra di sicurezza con l’Autenticazione Multifattore (MFA): vantaggi e svantaggi
Ammesso che l’anello debole sia proprio il fattore di conoscenza, è opportuno sostituirlo con un qualcosa di più difficile da rubare o replicare. L'Autenticazione Multifattore (MFA) rappresenta una tecnologia che richiede agli utenti di fornire due o più forme di verifica dell'identità prima di ottenere l'accesso a un sistema o un'applicazione. Queste forme possono includere qualcosa che l'utente sa (come una password), qualcosa che l'utente possiede (come un dispositivo mobile) e qualcosa che l'utente è (come un'impronta digitale). L'MFA aggiunge un livello extra di sicurezza, poiché anche se una parte di informazioni viene compromessa, l'accesso rimane protetto grazie ai fattori aggiuntivi richiesti.
Sebbene offra sicuramente vantaggi in termini di sicurezza, le aziende devono affrontare alcune sfide come la complessità dell'implementazione, i costi delle risorse e gli oneri associati alle richieste di reset, la revisione delle politiche di sicurezza e i limiti all’esperienza utente (UX).
Un aspetto infatti spesso sottovalutato dell'implementazione dell'MFA, infatti, è l'esperienza utente. Se l'MFA rallenta o complica eccessivamente il processo di accesso, gli utenti potrebbero diventare frustrati e cercare modi per eluderlo. PIN, password, pattern grafici, OTP generati da chiavette fisiche o token virtuali, tap di notifiche sono alcuni degli elementi che, combinati tra loro, potrebbero rendere l’esperienza di accesso ai servizi complessa e a tratti angosciosa, fino a portare gli utenti a rimandare a un momento migliore l’operazione che potrebbe essere effettuata in pochi e semplici click. Pertanto, è importante trovare soluzioni che offrano un'esperienza utente fluida e intuitiva, mantenendo nel contempo un livello di sicurezza adeguato.
Una tendenza emergente per migliorare l'esperienza utente e allo stesso tempo rafforzare la sicurezza è l'approccio Passwordless, che rappresenta un'evoluzione dell'MFA, cercando di bilanciare la sicurezza con l'usabilità. Eliminando le password tradizionali, si riducono i rischi legati alla loro vulnerabilità, semplificando al contempo il processo di accesso per gli utenti.
Autenticazione passwordless: cos’è e come funziona
L’autenticazione senza password si basa su uno scambio di chiavi tra l’utente e l’applicazione a cui sta accedendo. L’utente non dovrà fare altro che confermare l’accesso con un semplice tap di una notifica o un fattore biometrico impostato.
Dal momento che le passkey non devono essere digitate, non c’è il rischio che debbano essere ricordate né che vengano dimenticate o sottratte. Il nostro dispositivo custodirà una chiave univoca che verrà verificata con il servizio a cui vogliamo accedere. Nel caso estremo in cui una passkey venga compromessa, l’accesso agli altri account è al sicuro.
In questo modo, l’utente da anello debole della catena diventa il fattore forte grazie a una sua caratteristica peculiare che lo rende unico e inimitabile.
Le 3 fasi da seguire per dire addio alle password, basate sulla metodologia Zero Trust
Per rendere possibile tutto ciò, le aziende dovrebbero intraprendere un approccio progressivo che prevede alcune fasi incrementali tipiche della metodologia Zero Trust:
- One password once
Centralizzare il processo di autenticazione in un'unica soluzione per ridurre il numero delle password che gli utenti devono ricordare, ad es. attraverso meccanismi di Single Sign-On (SSO). L’utente che è abilitato a specifici servizi all’interno delle applicazioni federate in SSO dovrà inserire la password soltanto una volta. - Always verify
Rafforzare il processo di autenticazione con MFA per verificare sempre prima di concedere l’accesso a un’applicazione che l’utente che sta tentando l’accesso è proprio chi “dice di essere”. - Go Passwordless
Implementare l’autenticazione passwordless attraverso gli standard Fast Identity Online (FIDO) che consentono di ridurre la “dipendenza” dall’utilizzo delle password e garantiscono una procedura di accesso rafforzata, veloce e sicura.
Può sembrare un processo complesso e costoso, e di fatto è così. Il cambiamento è graduale e proporzionale al livello di maturità di un’azienda. I vantaggi in termini di sicurezza sono da identificare nella riduzione della superficie di attacco (furti di password), resistenza agli attacchi di phishing tramite la verifica dell’autenticità del servizio da parte dell’autenticazione FIDO. D’altro canto, i vantaggi funzionali sono processi più snelli e user experience semplificata senza la necessità di ricordarsi le credenziali di accesso ai vari servizi.
Perché, quindi, le aziende dovrebbero adottare l’autenticazione passwordless?
In conclusione, la Passwordless Authentication costituisce l’opportunità per le aziende di proteggere le identità digitali e gli accessi ai sistemi e di sbarazzarsi per sempre delle password, optando per un’alternativa più sicura e intuitiva. I vantaggi principali risiedono nella maggiore usabilità, miglioramento della frizione creata dall’utilizzo di credenziali e codici monouso, riduzione dei costi di gestione delle password e del volume dei ticket aperti al supporto utenti, senza considerare il rafforzamento della security posture grazie alla mitigazione dei rischi di violazione dei dati e compromissione di credenziali. Sebbene i costi per l’implementazione delle soluzioni hardware senza password siano notevoli da sostenere, questa tipologia di autenticazione resta un investimento per la sicurezza che renderà gli utenti, dipendenti e clienti più soddisfatti e sicuri.