L’autenticazione passwordless è sicura?

25/04/2022

Di Chris Collier, Technology Advocate for Identity and Access Management, HYPR

Nonostante l’aumento degli investimenti per la sicurezza informatica, normative più severe e attività specifiche di formazione del personale, gli attacchi informatici continuano la loro traiettoria ascendente. Nel solo 2021, c’è stato un aumento del 125% del volume degli incidentirispetto all’anno precedente. Gli attacchi alle credenziali sono il metodo più utilizzato per ottenere l’accesso non autorizzato. Secondo il Verizon 2021 Data Breach Investigations Report , il 61% delle violazioni riguarda credenziali compromesse.

Anche gestire le password è impresa che implica frustrazione, soprattutto quando si tenta di conformarsi a criteri aziendali con ottime intenzioni ma che richiedono una complessità e una frequenza sempre maggiori delle modifiche delle password. Sebbene ciò produca un aumento marginale della sicurezza, le password diventano ancora più difficili da ricordare e digitare, e non sorprende che proprio per questo motivo il 65% delle persone riutilizzi le password tra gli account. Le nuove tecnologie di autenticazione che rimuovono le password dal processo di autenticazione promettono di risolvere queste sfide, ma l’autenticazione senza password è sicura?

Per cercare di rispondere in modo completo a questa domanda, esaminiamo alcuni termini e background.

Che cos’è l’autenticazione passwordless?

Nella sua forma più semplice, l’autenticazione senza password è l’eliminazione delle password dal processo di autenticazione. Si noti che l’enfasi è sul processo di autenticazione, non sul metodo di accesso. C’è una differenza significativa tra la rimozione completa della password dal processo di accesso end-to-end e la semplice automazione del processo per comodità; ad esempio, inoltrando le credenziali da un vault o deposito (noto come “password store and forward”). Sebbene all’utente questo possa sembrare un metodo di accesso biometrico e quindi senza password, l’applicazione back-end sta ancora convalidando una password.

Che cos’è l’autenticazione a più fattori senza password?

Per complicare ulteriormente le cose, non tutta l’autenticazione senza password è multifattoriale. L’autenticazione a più fattori (MFA) riduce il rischio richiedendo agli utenti di fornire almeno due fattori di autenticazione indipendenti. Qualcosa che conosci (es. password, sequenza, domanda di sicurezza), qualcosa che possiedi (es. token crittografico, codice OTP, dispositivo fuori banda), qualcosa che sei (es. impronta digitale, riconoscimento facciale). L’autenticazione a più fattori impedisce agli aggressori di ottenere l’accesso a un sistema sicuro negando l’accesso nonostante la compromissione di una singola credenziale o fattore di autenticazione.

Gli autenticatori passwordless, come le chiavi di sicurezza hardware, possono richiedere metodi di autenticazione a uno o più fattori. A seconda del protocollo specifico, le chiavi intelligenti potrebbero richiedere solo la presenza della chiave in uno slot USB e che un utente tocchi la chiave. Pertanto le chiavi intelligenti sono comunemente combinate con una password per imporre l’autenticazione a più fattori. Richiedendo una chiave intelligente insieme a una password, il processo risultante non è più senza password. Pertanto, per rispondere “l’autenticazione senza password è sicura” è necessario sapere se la soluzione in questione è a singolo fattore o multifattore, e quali metodi di autenticazione utilizza.

Per ottenere un’autenticazione a più fattori senza password, il processo di accesso deve includere due o più metodi di autenticazione e deve eliminare completamente qualsiasi dipendenza dai segreti condivisi.

Vantaggi dell’autenticazione senza password

Se eseguita correttamente, l’implementazione dell’autenticazione senza password non è dirompente, non è traumatica per gli utenti e migliorerà significativamente la tua posizione di sicurezza generale eliminando i vettori di attacco associati ai segreti condivisi.

Riduzione della superficie attaccabile

I metodi di autenticazione dipendenti dalla password espongono l’intera organizzazione a rischi che vanno ben oltre i dati dei singoli utenti. È comunemente accettato che le password siano facilmente sfruttabili dagli aggressori e che le persone riutilizzino le password tra gli account. Di conseguenza, le credenziali sono l’obiettivo principale di molti attacchi informatici. Questi includono attacchi di phishing , key logging e altri malware e attacchi di social engineering. La rimozione totale delle password riduce il valore complessivo per gli hacker di prendere di mira dipendenti e clienti.

Login semplificato

La rimozione delle password aumenta intrinsecamente la produttività complessiva degli utenti, in modo che possano concentrarsi sul contributo alle direttive aziendali principali. Al personale a cui viene richiesto di modificare le password regolarmente, che prova frustrazione per le procedure di accesso in più fasi e agli amministratori che dedicano tempo al monitoraggio dell’igiene delle password e alle frequenti reimpostazioni delle password hanno un impatto cumulativo sulla produttività. Una ricerca recente ha rilevato che quasi la metà degli esperti di IT e sicurezza ha indicato la scarsa esperienza utente come un ostacolo all’implementazione dell’AMF nella propria organizzazione. Il passaggio all’autenticazione senza password elimina questi problemi.

Mitigazione del rischio da violazioni dei dati

Una delle conseguenze più dannose di una violazione dei dati deriva dal fatto che gli aggressori ottengono l’accesso a elenchi interni di password che possono quindi essere utilizzate in attacchi futuri. Anche se un’organizzazione utilizza protocolli di sicurezza come salting o hashing , la moderna potenza di elaborazione significa che la maggior parte delle credenziali offuscate possono essere violate facilmente. Oltre alle implicazioni immediate sulla sicurezza, le violazioni possono portare a una perdita a lungo termine di fiducia e fiducia nella tua azienda.

Protezione dei lavoratori a distanza

Il trasferimento su larga scala al lavoro da casa negli ultimi due anni sembra ora destinato a durare. Ciò ha creato importanti sfide di sicurezza per le organizzazioni, con i dipendenti che accedono alle risorse aziendali da reti domestiche non sicure, utilizzano dispositivi non protetti e installano app non controllate. Inoltre, gli attacchi RDP (Remote Desk Protocol) sono ai massimi livelli. Le soluzioni di autenticazione senza password complete consentono ai lavoratori remoti di accedere in modo sicuro ad applicazioni, desktop, VPN, gateway e altri punti di accesso remoto.

Metodi di autenticazione senza password non sicuri

L’abbiamo già detto, ma vale la pena ripeterlo: non tutte le autenticazioni senza password sono uguali. La più grande determinazione nella sicurezza di una soluzione di autenticazione senza password si basa sui fattori di verifica che utilizza e sui suoi processi di back-end.

Non veramente passwordless

Molte soluzioni di autenticazione senza password si definiscono tali ma sono solo password nascoste mascherate e combinate con passaggi aggiuntivi. Rimuovere la debolezza intrinseca delle password dovrebbe significare fare esattamente questo: sbarazzarsi di un fattore di conoscenza condivisa che un utente deve ricordare e che è archiviato, in qualche modo, su un server o nel cloud per essere verificato. Questa nomenclatura fuorviante provoca resistenza ed esitazione che impedisce l’adozione di una vera tecnologia di autenticazione senza password e i miglioramenti della sicurezza che offre.

Password monouso (OTP)

Le password monouso sono i codici inviati tramite e-mail o SMS per confermare che l’utente ha il controllo del dispositivo collegato al proprio account. Sebbene inteso a soddisfare il fattore “qualcosa che l’utente possiede” dell’AMF, il risultato è ancora l’uso di una password, che i cyberattaccanti, sfortunatamente, sono stati molto rapidi ed efficaci nello sfruttare. Gli attacchi di scambio di SIM, man-in-the-middle e di ingegneria sociale si sono dimostrati molto efficaci nel rubare queste OTP e nel continuare gli sforzi di compromissione dell’account. In effetti, i kit di hacking automatizzati progettati per aggirare questi fattori sono prontamente disponibili sul mercato nero. Sono inoltre disponibili molte app di autenticazione per generare OTP su dispositivi mobili. Questi meccanismi spesso dipendono da un segreto condiviso (seme).

Quindi l’autenticazione senza password è sicura?

Sebbene qualsiasi autenticazione MFA o senza password rappresenti un miglioramento rispetto all’utilizzo dell’accesso con password di base, se si basa su segreti condivisi che gli hacker possono rubare, si corre comunque un rischio considerevole. L’autenticazione senza password più potente e con il minimo attrito si basa sulle linee guida FIDO (Fast IDentity Online). FIDO è un insieme di standard di sicurezza e interoperabilità che sfrutta la crittografia a chiave pubblica e robusti verificatori di identità per garantire sicurezza e usabilità su vasta scala.

FIDO2 supporta test biometrici e altri verificatori resistenti al phishing , autenticando in modo sicuro le persone senza password. È considerato il gold standard per l’autenticazione dalla Cybersecurity and Infrastructure Security Agency (CISA) del governo degli Stati Uniti e dall’OMB .

HYPR –  Autenticazione sicura senza password

La tecnologia True Passwordless™ MFA di HYPR utilizza i meccanismi biometrici e protegge gli elementi hardware sul dispositivo intelligente dell’utente, insieme a rigorosi protocolli crittografici, per trasformare un normale smartphone in un autenticatore FIDO sicuro. HYPR riduce la superficie di attacco offrendo al contempo un flusso di autenticazione senza interruzioni e senza attriti, dal desktop al cloud, inclusi i punti di accesso remoti. Offre una modalità di accesso offline sicura utilizzando PIN memorizzati sul dispositivo, in cui non esiste un segreto condiviso che risieda su un server o nel cloud che può essere sfruttato.

Scopri di più su HYPR o richiedici una demo per vedere di persona.

Photo by Towfiqu barbhuiya on Unsplash

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

L’evoluzione di Domaintools

L’evoluzione di Domaintools

Di Timothy Chen - Chief Executive Officer, Domaintools [Nuovo look, stesso impegno] Per un Internet sicuro, protetto e aperto per tutti Oggi abbiamo lanciato un aggiornamento del sito e del marchio DomainTools e un aggiornamento della piattaforma di navigazione e...