I criteri di creazione di una nuova password sono ormai noti: deve essere lunga almeno otto caratteri, contenerne di speciali, evitare quelli sequenziali o basati su parole del dizionario. Sebbene questi requisiti possano rappresentare una difficoltà e ostacolare l’esperienza utente, non sono richieste troppo esigenti da parte dei team di sicurezza IT. Al contrario, si tratta di richieste ormai necessarie nelle aziende moderne, poiché le credenziali sono tra gli obiettivi più vulnerabili e la forzatura delle password rimane un vettore utilizzato dagli attori delle minacce. Ottenendo password valide, gli attaccanti possono infiltrarsi furtivamente nei sistemi, elevare i propri privilegi fino a raggiungere il livello di amministratore o superutente e danneggiare sicurezza, reputazione e profitti di un’azienda.
Per contrastare questo fenomeno, le imprese hanno adottato sempre più spesso l’autenticazione multi-fattore (MFA) per impedire agli utenti di accedere ad applicazioni, reti e risorse aziendali senza inserire un’ulteriore forma di verifica. Ad esempio, agli utenti può essere chiesto di verificare i loro tentativi di accesso fornendo un codice via e-mail, approvando la richiesta di accesso nell’app Authenticator o inserendo una smart card.
Purtroppo, gli attori delle minacce hanno a disposizione numerosi strumenti per aggirare anche le protezioni MFA, tra cui il furto di cookie, l’impiego di social engineering o di attacchi che fanno leva sulla MFA fatigue, la difficoltà dell’utente a seguire con attenzione le policy relative all’autenticazione. Questo ci porta al punto di partenza, con le password che rappresentano spesso l’anello di sicurezza più debole.
Cosa accadrebbe se non ci fosse alcuna password da cui iniziare? Significherebbe assenza di requisiti di complessità delle password da rispettare, di aggiornamenti periodici o riposo delle password e, soprattutto, nessuna password da rubare.
Si fa strada l’autenticazione passwordless
Il concetto di autenticazione senza password esiste da molto tempo, ma solo di recente il mercato si è orientato verso l’utilizzo attivo di questa tecnologia. L’autenticazione passwordless può impiegare qualsiasi mezzo per convalidare l’utente, a eccezione di un secret memorizzato. Può trattarsi, ad esempio, di un codice QR visualizzato al momento dell’accesso, un messaggio SMS con un codice unico o una chiave USB fisica.
Nel back-end, l’autenticazione senza password si basa sullo stesso principio dei certificati digitali che utilizzano chiavi pubbliche e private, in cui la chiave pubblica è la porta e quella privata la chiave che la apre. Con l’autenticazione senza password, c’è una sola chiave per la porta e una sola porta per la chiave. Ad esempio, un utente desidera creare un account sicuro e utilizza un’applicazione di autenticazione mobile per generare una coppia di chiavi pubbliche e private. La chiave pubblica viene fornita al sistema e quella privata è accessibile dal dispositivo locale dell’utente utilizzando un fattore di autenticazione come un codice QR.
L’autenticazione senza password offre migliore user experience e maggiore produttività grazie a un’esperienza di accesso più agile. Inoltre, aumenta la sicurezza eliminando i rischi legati alle password, riducendo le spese IT e liberando risorse dedicate a supportare gli utenti a sbloccare gli account e reimpostare le password.
Sebbene la tecnologia passwordless prometta vantaggi significativi, è importante comprendere che il percorso verso questa tipologia di autenticazione è unico per le esigenze di ogni azienda.
Il percorso verso il passwordless è complesso
La realtà è che nessuna azienda può fare immediatamente a meno delle password e la maggior parte non sarà mai in grado di raggiungere questo stato in modo completo. Ci sono troppi sistemi legacy profondamente radicati nell’infrastruttura IT che richiedono password. Si tratta quindi di trovare il giusto equilibrio tra sicurezza, impegno e costi.
Passare al passwordless non è un’attività semplice, soprattutto quando le aziende devono gestire migliaia di utenti, innumerevoli applicazioni, ambienti ibridi e multi-cloud e flussi di login complessi. Il raggiungimento di un ambiente completamente privo di password richiede un approccio graduale, quando la tecnologia continua a evolversi e l’adozione da parte degli utenti aumenta.
Le aziende devono essere consapevoli che non tutte le esperienze senza password sono uguali e il loro successo dipende dalla selezione dei migliori fattori di autenticazione allineati alle esigenze di business e utenti. Sebbene l’eliminazione totale delle password sia ancora lontana, è possibile ridurne l’utilizzo implementando le giuste soluzioni IAM (Identity Access Management) che supportano i casi d’uso senza password.
