Giornata mondiale della password 2024: alla ricerca di soluzioni senza password
Circa la metà (49%) delle violazioni di dati segnalate lo scorso anno (e l'86% di tutte le violazioni di dati all'interno di applicazioni web) ha comportato l'utilizzo di informazioni di login rubate, come nomi utente e password. Solo in Germania, nel primo trimestre del 2024 sono stati violati con successo circa 3,2 milioni di account utente. In Svizzera, la cifra è stata di poco inferiore a 210.000, quindi l'autenticazione sicura sembra essere ancora una sfida per molti.
Pur sapendo che le password possono essere decifrate, rivelate o rubate e quindi utilizzate contro di noi, molte persone e aziende continuano ad affidarsi ad esse. Le ragioni sono varie. Comprenderle è essenziale per rafforzare le nostre password o abbandonarle a favore di soluzioni di autenticazione più efficaci. Le password sono semplicemente comode: sia gli utenti che gli amministratori IT ne conoscono il funzionamento, sono facili da implementare e richiedono investimenti minimi e l'infrastruttura esistente. Non richiedono hardware aggiuntivo e quasi tutti i dispositivi e le applicazioni supportano l'autenticazione tramite password.
Minore dipendenza dalle password
Chiunque stia valutando alternative alle password deve soppesare gli aspetti della sicurezza, dell'usabilità e della scalabilità per garantire un'esperienza utente sicura e senza interruzioni. Un'eccessiva complessità nei processi di autenticazione porterà gli utenti a trovare il modo di aggirarli. Le aziende che vogliono abbandonare le password senza sovraccaricare gli utenti possono scegliere tra:
Autenticazione a due o più fattori (2FA o MFA):
Questi metodi sono ormai diventati lo standard per molte applicazioni. Con la 2FA, gli utenti devono presentare due fattori di identificazione prima di poter accedere al dispositivo o all'applicazione. In genere, questi fattori includono qualcosa che l'utente conosce (ad esempio, una password) e qualcosa che possiede (ad esempio, un codice che può condividere tramite un dispositivo mobile). Il tempo e la complessità aggiuntivi sono relativamente bassi. L'MFA aggiunge ulteriori livelli di autenticazione, ad esempio qualcosa di unico per l'utente (autenticazione biometrica) o qualcosa che questi esegue (autenticazione biometrica comportamentale). Negli ultimi anni, tuttavia, gli aggressori hanno imparato sempre più spesso a eludere la 2FA e l'MFA attraverso il phishing mirato o sfruttando la "stanchezza da MFA", inondando gli utenti di false notifiche di accesso finché non ne salutano uno.
Single Sign-On (SSO):
L'SSO consente agli utenti di accedere a diversi dispositivi o applicazioni con un solo set di credenziali. Questo riduce la necessità di password e migliora l'esperienza dell'utente. Questo approccio è molto efficace, ad esempio, per i login interni all'azienda o all'organizzazione, ma spesso richiede molto tempo per essere implementato e configurato. L'SSO può anche essere rischioso se viene esteso ai login su Internet e l'accesso avviene tramite i dati di login di servizi e siti web popolari come Google, Facebook, Yahoo, Apple o Microsoft. In questo caso il login diventa semplice. Tuttavia, se un account con uno di questi provider viene compromesso, l'attaccante può accedere a qualsiasi altro account per il quale viene utilizzato l'SSO. Inoltre, spesso vengono scambiati dati tra i singoli provider, cosa di cui molti utenti non sono a conoscenza, ma che non vogliono nemmeno.
Autenticazione biometrica:
Si tratta di metodi come il riconoscimento delle impronte digitali, il riconoscimento facciale, la scansione dell'iride e il riconoscimento vocale. La biometria comportamentale, invece, si basa sul riconoscimento del comportamento di digitazione o di utilizzo del dispositivo. I metodi di autenticazione biometrica offrono un elevato livello di sicurezza e allo stesso tempo sono di facile utilizzo, in quanto gli utenti non devono memorizzare password o risposte a domande di sicurezza. Inoltre, molti utenti hanno già familiarità con questi metodi, in quanto molti dispositivi dell'utente finale sono già dotati di funzionalità di autenticazione biometrica, il che può facilitare e accelerare l'implementazione e l'adozione di questi metodi a livello di organizzazione. Tuttavia, non tutti i dispositivi sono adatti all'autenticazione biometrica e l'implementazione della tecnologia necessaria può essere molto costosa. Inoltre, gli utenti devono accettare di utilizzare i propri dati biometrici in un contesto professionale.
Gettoni hardware:
Questi dispositivi fisici generano codici unici, spesso limitati nel tempo, o chiavi crittografiche per l'autenticazione, come ulteriore livello di sicurezza per l'accesso. Un aggressore dovrebbe avere accesso fisico al token e conoscere i dati di login dell'utente per accedere al suo account. Lo svantaggio: una password dimenticata può essere semplicemente ripristinata, ma un token hardware smarrito deve essere sostituito. Nel frattempo, è necessario predisporre un processo di back-up alternativo per l'accesso.
Autenticazione basata su certificati:
Questo approccio si basa su certificati digitali emessi da un'autorità di certificazione in combinazione con la crittografia a chiave pubblica per controllare e verificare l'identità dell'utente. Il certificato contiene informazioni rilevanti per l'identificazione e una chiave pubblica, mentre l'utente stesso dispone di una chiave privata virtuale. Questo metodo di autenticazione è adatto, ad esempio, nei casi in cui le aziende impieghino appaltatori che necessitano di un accesso temporaneo alla loro rete. Tuttavia, l'implementazione di questo metodo può essere relativamente costosa e richiede molto tempo.
Esiste anche un altro approccio dinamico: l'autenticazione basata sul rischio. Quando viene effettuato un tentativo di accesso, viene innanzitutto determinato il rischio associato di accesso non autorizzato in base a vari fattori, quali il comportamento dell'utente, la posizione e le informazioni sul dispositivo, e i requisiti di autenticazione vengono adattati di conseguenza.
Per garantire il massimo livello possibile di sicurezza dell'autenticazione, l'attenzione dei responsabili non deve essere rivolta all'eliminazione delle password, ma alla riduzione della dipendenza da esse. Gli approcci senza password si basano su metodi di autenticazione alternativi o aggiuntivi che, come quelli menzionati in precedenza, sono sicuri e facili da usare, spesso come parte di un approccio più ampio di zero trust. Sia l'accesso senza password che la fiducia zero contribuiscono ad aumentare la sicurezza dei dispositivi, degli utenti e delle reti in un panorama di minacce in continua evoluzione, senza compromettere l'esperienza dell'utente e, insieme, a porre fine alla nostra dipendenza dalle password.
Fonte: www.barracuda.com