I sistemi senza password sono il futuro dell'autenticazione?

A cybersecurity icon projecting from a laptop screen.
(Immagine:: Shutterstock / song_about_summer)

Le password sono la prima linea di difesa contro le violazioni dei dati, ma spesso gli individui mostrano cattive abitudini quando si tratta di scegliere o aggiornare regolarmente le proprie password. Nonostante i requisiti diffusi per password sicure in tutte le applicazioni e i siti web, la ricerca indica che il 75% delle persone a livello globale non rispetta le best practice stabilite, con il 64% che opta per password deboli o apporta solo piccole modifiche quando viene richiesto di sceglierne una nuova, piuttosto che utilizzare un generatore di password sicure.

Sottovalutare le implicazioni per la sicurezza derivanti dalla scelta di password non all'altezza è un errore significativo, che offre agli aggressori ampie opportunità di infiltrarsi nei sistemi. Una volta che gli aggressori acquisiscono credenziali di password valide, possono facilmente scalare i loro privilegi a livelli di amministratore o superutente, aggirando le misure di sicurezza di gestione delle identità di un'organizzazione.

Le violazioni dei dati possono compromettere gravemente la reputazione di un'azienda e comportare perdite finanziarie sostanziali, il che significa che è necessario uno sforzo concertato per migliorare le pratiche relative alle password e implementare un solido quadro di sicurezza delle identità. Di conseguenza, le organizzazioni più lungimiranti stanno adottando l'autenticazione a più fattori (MFA) per ridurre il rischio di furto di credenziali e accesso non autorizzato. Attraverso l'MFA, gli utenti accedono alle applicazioni e alle reti aziendali fornendo un'ulteriore forma di verifica, come un codice ricevuto via e-mail o visualizzato momentaneamente sul telefono.

Tuttavia, mentre le aziende adottano metodi di autenticazione più sicuri, gli aggressori stanno escogitando strategie innovative per aggirare le protezioni MFA. Queste tattiche includono il furto di cookie, l'ingegneria sociale e gli attacchi basati sulla fatica dell'MFA. Sebbene l'MFA offra una maggiore sicurezza rispetto alle password tradizionali, è essenziale riconoscere che gli aggressori cercano continuamente modi per indebolirla.

Le aziende devono intensificare gli sforzi per rafforzare la sicurezza delle identità. Le minacce emergenti offrono l'opportunità di affrontare in modo proattivo il rischio crescente di violazioni dei dati e, sebbene non convenzionale, un approccio senza password può offrire una soluzione valida.

Fuori il vecchio, dentro il nuovo

Le aziende stanno lentamente iniziando ad abbandonare le password tradizionali per adottare approcci senza password. Con l'autenticazione senza password, le persone possono confermare la propria identità in vari modi, che si tratti di un codice QR visualizzato al momento del login o di un'autenticazione biometrica come il riconoscimento facciale, al di là di una password memorizzata. Questo tipo di approccio contribuisce a ridurre i rischi di infiltrazione nelle reti da parte di soggetti minacciosi, poiché le chiavi private sono uniche e accessibili solo dal dispositivo locale dell'utente. In generale, la sicurezza dell'identità è migliorata.

Inoltre, la rimozione delle password è più facile e conveniente sia per gli utenti che per i team IT. Gli utenti non devono più ricordare la propria password o cambiarla regolarmente e l'IT non deve più dedicare tempo ad assistere i dipendenti nello sblocco degli account e nella reimpostazione delle password. Questo approccio ha anche un impatto positivo sulla produttività, grazie a un'esperienza di accesso più fluida.

Passare a un sistema senza password

È importante tenere presente che, sebbene la tecnologia senza password apporti vantaggi significativi, la transizione non può avvenire dall'oggi al domani e alcune organizzazioni potrebbero non essere mai in grado di adottare un approccio completamente privo di password. Eliminare le password è un grande impegno, soprattutto per le aziende che gestiscono migliaia di utenti, innumerevoli applicazioni, ambienti ibridi e multi-cloud e flussi di login complessi. Ci sono troppi sistemi legacy profondamente radicati nell'infrastruttura IT che richiedono password.

Si tratta quindi di trovare l'approccio migliore per ogni azienda e quello che funziona sia dal punto di vista della sicurezza delle identità che da quello dei costi. Il percorso verso l'autenticazione senza password è unico per i requisiti di ogni azienda e per le esigenze di ogni utente. Non esiste un approccio unico per tutti. Inoltre, con la tecnologia in costante evoluzione e l'aumento dell'adozione da parte degli utenti, il raggiungimento di un ambiente completamente privo di password richiede un approccio graduale.

Considerare tutte le soluzioni disponibili

Sebbene la completa eliminazione delle password possa rappresentare una sfida per alcune aziende, queste possono comunque ridurne la dipendenza adottando soluzioni di gestione dell'identità e dell'accesso (IAM) che facilitino le funzionalità senza password. Nel valutare le soluzioni IAM, le organizzazioni dovrebbero dare priorità a funzionalità specifiche, quali:

1. Zero sign-on (ZSO) utilizza solidi standard crittografici come i certificati e combina le identità degli utenti con informazioni contestuali come le impronte digitali dei dispositivi e la postura di sicurezza. È il primo pilastro di una vera soluzione senza credenziali. Con ZSO, gli utenti possono accedere senza problemi alle applicazioni e ai servizi a loro assegnati una volta che i loro dispositivi sono stati controllati e che è stato confermato che soddisfano i requisiti di sicurezza. Gli utenti non hanno bisogno di alcuna forma di autenticazione aggiuntiva. ZSO può essere combinato con altri fattori di autenticazione senza password più adatti alle esigenze aziendali, consentendo alle aziende di migliorare l'usabilità e aumentare la sicurezza dell'identità.

2. FIDO2 Web Authentication (WebAuthn) è ampiamente supportato da quasi tutti i fornitori di identità e svolge un ruolo fondamentale nel consentire l'autenticazione senza password per gli utenti finali tipici. Insieme a FIDO2, i passkeys di FIDO offrono un nuovo approccio per ottenere l'accesso senza password su più dispositivi, sfruttando le capacità di sicurezza dei dispositivi degli utenti per migliorare ulteriormente l'esperienza dei singoli. Questi passkeys sono anche altamente resistenti ai tentativi di phishing, in altre parole, possono mitigare efficacemente i vettori di attacco associati all'MFA che richiedono l'interazione umana.

3. Con il lavoro da remoto che è ormai una tendenza prevalente, è essenziale garantire un accesso sicuro ai dipendenti che accedono a una rete aziendale attraverso una VPN. In particolare, si raccomanda l'uso dell'MFA adattivo, che aggiunge un ulteriore livello di sicurezza dell'identità all'accesso remoto, proteggendo la rete aziendale e le applicazioni e le risorse in loco, garantendo al contempo un'esperienza di accesso senza interruzioni che valuta e regola continuamente, secondo le necessità, i fattori senza password basati su analisi contestuali e di rischio. L'approccio MFA adattivo è importante ed efficace perché consente agli utenti ad alto rischio o alle richieste di autorizzazione di effettuare ulteriori passaggi prima di concedere l'accesso e viceversa.

4. Per ottenere una vera esperienza senza password, è fondamentale implementare una soluzione che consenta agli utenti di auto-iscriversi, sostituire ed eliminare gli autenticatori senza password in base a protocolli di sicurezza appropriati, insieme a un'ampia gamma di metodi alternativi di autenticazione senza password tra cui scegliere. Ad esempio, in caso di smarrimento del telefono cellulare, l'utente dovrebbe essere in grado di sostituire l'autenticatore senza password scegliendo tra diversi fattori con gli opportuni controlli di sicurezza.

Costruire difese adatte al futuro

Le aziende adottano sempre più spesso l'autenticazione a più fattori (MFA) per ridurre il rischio che le minacce rubino le loro password. Tuttavia, la semplice aggiunta dell'MFA come livello aggiuntivo rispetto alle password non è una soluzione efficace. L'MFA dovrebbe invece essere incorporata come parte di un'esperienza senza password, attraverso notifiche push, contesto dell'utente, ecc. In questo modo si ottiene una soluzione molto più efficace per prevenire l'accesso non autorizzato alle reti aziendali. Questo approccio non solo contribuisce a migliorare la sicurezza dell'identità e la resilienza dell'organizzazione contro le attuali minacce informatiche, ma migliora anche l'esperienza degli utenti.

Tuttavia, il passaggio a un sistema senza password non può avvenire istantaneamente per nessuna azienda. Questo passaggio richiede una pianificazione strategica, un'esecuzione disciplinata e una maggiore consapevolezza da parte dei dipendenti. È necessario un solido supporto da parte della leadership per garantire che tutti i membri del personale siano adeguatamente istruiti sulle pratiche più efficaci per implementare l'autenticazione senza password in modo sicuro ed efficiente. Inoltre, la creazione di partnership con fornitori esperti e affidabili è fondamentale per il successo dell'integrazione dei sistemi senza password all'interno dell'organizzazione. Per anticipare e mitigare efficacemente le minacce, le aziende devono assicurarsi che i fornitori di IAM possiedano le competenze necessarie per soddisfare i loro requisiti di sicurezza.

David Higgins

EMEA Technical Director, CyberArk.