In Hypr, abbiamo avuto il privilegio di osservare le aziende di tutto il mondo eliminare con successo le password per i loro clienti e dipendenti. Questi pionieri hanno stabilito lo standard e hanno dimostrato i vantaggi permessi dall’autenticazione senza password. Alcuni degli ingredienti chiave includono una chiara comprensione del motivo per cui stanno andando oltre le password, nonché la volontà di fidarsi dei loro partner nella definizione del come.
Abbiamo anche visto aziende meno fortunate che hanno incontrato degli ostacoli: infatti, nonostante il forte desiderio di implementare la sicurezza di nuova generazione, alcune organizzazioni non riescono a rimuovere le password. Alcuni hanno condotto ricerche di mercato che non hanno avuto alcun esito pratico. Altri avevano “iniziative passwordless” iniziate nel 2018, impantanate da progetti di orchestrazione delle identità e solo ora stanno finalmente implementando password complesse di 14 caratteri (?).
Queste situazioni sfortunate hanno alcune cose in comune. Ecco le 3 principali cose che abbiamo visto ostacolare un percorso passwordless e come evitarle:
1. Aspettarsi che lo faccia il tuo Identity Provider
Se pensi che l’attuale Identity Provider (IdP) che stai utilizzando eliminerà tutte le tue password, non è l’assunzione corretta: le piattaforme di identità legacy sono state costruite su password e MFA basato su password. Mentre i giganti IAM hanno fatto un lavoro incredibile e hanno rivoluzionato la sicurezza digitale, l’eliminazione di password e segreti condivisi non è la loro competenza principale. In effetti, l’autenticazione stessa è sempre stata una funzionalità aggiuntiva per l’IdP. Non è stato necessario investire risorse significative per migliorare l’autenticazione. Di conseguenza, su questo fronte sono state apportate pochissime innovazioni. Basta guardare il Gartner Magic Quadrant 2020 per IAM. Perché il quadrante “Visionari” è vuoto?
La mancanza di concentrazione e innovazione è il motivo per cui vediamo sempre più aziende disaccoppiare l’autenticazione dall’identità. Dopo anni di attesa per l’arrivo dell’autenticazione di nuova generazione e la lettura di post su blog sui vantaggi dell’assenza di password, questi clienti restano confusi quando si rendono conto che il loro IdP utilizza ancora le password… ovunque.
Fortunatamente, un numero crescente di organizzazioni ha capito le differenze tra marketing senza password e MFA senza password. Coloro che sono riusciti in questa missione sono team che si sono resi conto che non possono evolversi oltre le password se si affidano semplicemente ai loro fornitori di identità in carica.
2. Lasciare che Perfect sia il nemico di Great
“Abbiamo bisogno che tutti siano in grado di utilizzare lo stesso metodo di autenticazione ovunque, in tutte le condizioni, il primo giorno.”
Questa mentalità unica per tutti appare spesso in organizzazioni grandi e complesse che stanno (giustamente) cercando di eliminare le password per tutti gli utenti. È lodevole vedere i leader di progetto che si sforzano di soddisfare tutti i casi d’uso e casi limite il primo giorno. Sfortunatamente, il bombardamento a tappeto della password non funziona mai. Il processo effettivo è più simile a falciare un prato, una sezione alla volta, finché tutta l’erba non appare uniforme.
Per un’azienda, la trasformazione senza password è simile a una trasformazione nel cloud. Si muove in modo incrementale e soddisfa le esigenze di una vasta gamma di dispositivi utente, applicazioni e casi limite. Queste variabili si manifestano in diversi modi:
- Le preferenze personali degli utenti possono variare. Molte persone sono incollate al proprio smartphone. Alcuni preferiscono utilizzare il desktop per tutto ciò che riguarda il lavoro.
- Alcuni utenti hanno un vecchio telefono o nessun telefono. Gli ambienti complessi hanno popolazioni di dispositivi e requisiti di conformità molto diversi.
- I reparti altamente regolamentati potrebbero vietare gli smartphone e richiedere l’uso di un token di sicurezza hardware.
- E, naturalmente, molti utenti semplicemente non vogliono portare con sé un altro pezzo di hardware.
Vedi perché l’approccio “taglia unica” fallisce? Cercare di risolvere ogni caso d’uso e caso limite il primo giorno è una ricerca assoluta della perfezione. Queste organizzazioni sfruttano i vari metodi di accesso senza password che soddisfano le esigenze di ogni situazione. La tua strategia MFA dovrebbe consentire l’uso di Autenticazione avviata da dispositivo mobile, Token di sicurezza FIDO2 e autenticatori nativi come Windows Hello. Le aziende passwordless di successo sono quelle che si concentrano su un’implementazione progressiva come delineato nella nostra Guida gratuita all’eliminazione della password.
3. Team IT e di sicurezza che non sono allineati
L’allineamento dei team è fondamentale per il successo di un progetto di trasformazione. Molte iniziative IT si sono fermate quando i reparti non si vedono negli occhi o hanno programmi contrastanti. Qualsiasi trasformazione significativa della forza lavoro dipende dal fatto che l’IT e l’help desk diventino sostenitori del progetto. È qui che entra in gioco il mio punto precedente sull’enfasi sul “perché”.
L’eliminazione delle password porta un enorme vantaggio in termini di esperienza utente, maggiore sicurezza e risparmio sui costi. Questi impatti si manifestano immediatamente in tutta l’organizzazione poiché la riduzione dei ticket di supporto relativi alle password migliora la vita dell’IT, dell’help desk e dei team di supporto. Questi gruppi sono la base per qualsiasi iniziativa di autenticazione di successo e devono capire perché sta accadendo e come possono trarne vantaggio.
La buona notizia è che MFA senza password ha l’abitudine di riunire i reparti. Raramente i team IT, InfoSec, Frode, Conformità e Line of Business si uniscono con una tale passione per un obiettivo comune. Abbiamo visto alcuni dei team più frammentati costruire legami duraturi sul successo di un’implementazione senza password.
Per sbarazzarti delle password, pensa come una password
No, non proprio. Ma farlo bene significa adottare una mentalità senza password. Ecco un riepilogo di ciò che stanno facendo le società senza password:
Vai senza password alle tue condizioni. Non aspettare che il tuo provider IAM in carica elimini le password (non lo faranno) e non lasciare che siano i fornitori legacy a dettare cosa dovrebbe significare per te l’identità senza password.
Non lasciare che il perfetto sia il nemico del grande. Concentrati sulle vittorie rapide con un gruppo di utenti alla volta mentre avanzi verso uno stato senza password.
Allinea le tue squadre verso un obiettivo comune. MFA senza password si vende da solo. Nessuno vuole tornare alle password. Concentrati sul motivo per cui l’eliminazione della password è importante per i tuoi colleghi e accelererà naturalmente da sola.