Le 7 cose da ricercare nelle passwordless authentication solutions

04/11/2021

La recente mossa di Microsoft di offrire l’autenticazione passwordless come authentication solutions, per gli account dei consumatori ha suscitato sospiri di sollievo dagli esperti di sicurezza di tutto il mondo, poichè le password sono tra i rischi per la sicurezza più significativi per individui e aziende. Un recente sondaggio ha rilevato che il 65% delle persone riutilizza le password tra gli account e il 45% non ha modificato la propria password nell’ultimo anno, anche dopo una violazione. Con semplici ed economici attacchi di credential stuffing e di password spraying, le password sono l’equivalente di chiudere a chiave una porta ma lasciare la chiave sotto il tappetino.

Molte soluzioni di autenticazione a più fattori (Multi Factor Authentication o MFA) aggiungono semplicemente un altro fattore di autenticazione oltre alla password, tuttavia gli aggressori possono utilizzare diversi metodi come phishing, Man in the Middle (MitM) o Push Attacks per ottenere l’accesso a interi sistemi. Alcune soluzioni di autenticazione che si definiscono “passwordless”, nonostante il loro nome, rientrano in questa categoria. Ecco perché le recenti direttive MFA e le linee guida sulle migliori pratiche mirano a spostare l’autenticazione verso metodi sicuri e resistenti al phishing per dimostrare l’identità.

A parte i problemi di sicurezza, alcune soluzioni di autenticazione passwordless sono eccessivamente complicate, causando frustrazione tra gli utenti, altre invece aggiungono complessità nelle integrazioni per i team IT o non sono scalabili a livello aziendale. Qui esaminiamo le principali domande che è necessario porre a qualsiasi potenziale fornitore sulla loro soluzione di autenticazione passwordless

Utilizza comunque le password?

Questo dovrebbe essere ovvio, ma molti cosiddetti provider passwordless offrono una “esperienza” senza password piuttosto che un prodotto veramente senza password. Possono utilizzare funzionalità di convenienza biometrica senza password come TouchID o FaceID per l’interfaccia utente, ma queste semplicemente sbloccano una password memorizzata da inviare per l’autenticazione. Oppure le soluzioni inviano una password monouso (OTP) tramite SMS o e-mail come parte del flusso MFA. Per definizione, una OTP è ancora una password e come tutte le altre password è vulnerabile alle stesse minacce di phishing e intercettazione.Sebbene l’autenticazione tramite infrastruttura a chiave pubblica (PKI) sia stata a lungo considerata il metodo più sicuro, la disponibilità di soluzioni basate su PKI di facile utilizzo e business è relativamente recente. Assicurati che la soluzione di autenticazione passwordless scelta sfrutti una solida crittografia e non utilizzi modalità di autenticazione non sicure come password, OTP o token SMS in qualsiasi punto del flusso di accesso.

Fornisce MFA passwordless per l’accesso desktop?

L’accesso sicuro all’applicazione è importante, tuttavia il punto di autenticazione iniziale per la maggior parte della forza lavoro è il proprio dispositivo. Se la soluzione di autenticazione passwordless che utilizzi funziona solo per le applicazioni, stai lasciando aperta una falla di sicurezza critica per la tua forza lavoro. Inoltre, con gli obblighi normativi, come l’ordine esecutivo sul miglioramento della sicurezza informatica della nazione, e gli assicuratori informatici che insistono sull’implementazione dell’MFA per ottenere la copertura, l’autenticazione desktop è ora uno degli imperativi legali e aziendali.La soluzione di autenticazione passwordless scelta, dovrebbe offrire diverse opzioni di autenticazione sicura per i desktop della forza lavoro, idealmente con la stessa esperienza di accesso utente delle applicazioni. Inoltre, è necessaria una funzionalità di autenticazione offline sicuraquando i dipendenti sono in viaggio o non sono in grado di connettersi a Internet.

È una soluzione certificata FIDO o FIDO2 dall’inizio alla fine?

Fast Identity Online (FIDO) è un insieme di standard aperti per migliorare la sicurezza informatica riducendo la dipendenza dalle password. Essere certificati FIDO® significa implementare la crittografia a chiave pubblica per l’autenticazione e aderire agli standard di usabilità e interoperabilità per favorire l’adozione da parte degli utenti e garantire la compatibilità con altri prodotti certificati FIDO.Alcuni fornitori affermano di essere conformi a FIDO o supportano FIDO, il che non garantisce la stessa sicurezza, usabilità e interoperabilità della certificazione FIDO. È anche possibile che un provider abbia la certificazione FIDO per il suo server di convalida, ma un autenticatore non certificato. Ciò significa che il loro server è in grado di accettare verificatori di autenticazione certificati FIDO esterni, ma che il client della soluzione stesso non soddisfa gli standard FIDO.

Gli standard FIDO corrispondono alle linee guida del NIST (800-63B), della FFIEC, dell’OMB e di altri statuti sulla sicurezza informatica, nonché ai requisiti di PSD2 Strong Customer Authentication. L’utilizzo di una soluzione completamente certificata FIDO significa conformità integrata. Per determinare lo stato di certificazione di una soluzione di autenticazione passwordless, è possibile controllare il registro delle tecnologie certificate FIDO a questo indirizzo.

La soluzione è in grado di interagire ed integrarsi con il tuo Identity Provider (IdP)?

I provider di identità (IdP)come OneLogin e Azure AD sono essenziali per mantenere la sicurezza del sistema, in particolare per le aziende con una forza lavoro distribuita. Con l’enorme <passaggio al lavoro da casa negli ultimi anni, l’aumento della superficie di attacco degli utenti che accedono da ambienti non sicuri o dispositivi condivisi minaccia l’integrità di intere reti. Gli IdP rafforzano questi potenziali vettori di attacco, quindi una soluzione di autenticazione passwordless deve integrarsi con qualunque IdP si stia utilizzando.Molte soluzioni “senza password” funzionano solo con IdP specifici o tentano di sfruttare il loro prodotto per bloccare le organizzazioni al proprio IdP. Si consiglia di disaccoppiare l’autenticazione dall’Identity Provider. Qualunque sia la soluzione di autenticazione passwordless che si sceglierà di utilizzare, dovrebbe integrarsi con tutti i principali IdP e supportare standard aperti (come SAML o OIDC) per integrarsi facilmente con il servizio SSO di tua scelta.

È facile da integrare e distribuire?

Un grosso ostacolo alla sostituzione dei sistemi obsoleti di autenticazione basati su password, è rappresentato dalle potenziali difficoltà e disservizi durante l’implementazione di una nuova tecnologia, e questo non deve accadere. Una soluzione di autenticazione passwordless che segue un approccio basato su standard, dovrebbe essere facile da integrare con i provider SSO già presenti. Inoltre, le soluzioni che forniscono un robusto SDKconsentono ai team di sviluppo di integrarsi facilmente con applicazioni personalizzate o legacy non connesse al proprio provider SSO. Se gli obblighi normativi come la PSD2 Strong Customer Authentication (SCA) influiscono sulla tua attività, assicurati che gli SDK della soluzione includano controlli di sicurezza integrati e funzioni per aiutarti a soddisfarli.

Com’è l’esperienza dell’utente?

L’esperienza dell’utente e la facilità d’uso di qualsiasi sistema di sicurezza, gioca un ruolo chiave nella sua adozione di successo e rende molto meno probabile che le persone cerchino soluzioni alternative per motivi di convenienza o facilità. Sfortunatamente, molte soluzioni di autenticazione passwordless, si concentrano esclusivamente sull’aspetto della sicurezza e dimenticano la User Experience (UX). Se la tua soluzione passwordless richiede più tempo rispetto alla digitazione di una password, la tua organizzazione avrà difficoltà a adottarla.I fornitori di soluzioni devono rendere l’esperienza di autenticazione veloce, intuitiva e conveniente, oltre che tenere conto delle preferenze degli utenti. Una solida soluzione di autenticazione passwordless dovrebbe anche fornire alternative per coloro che non possono o non vogliono utilizzare la biometriao il proprio smartphone.

Oltre a soddisfare i tuoi utenti, una soluzione di autenticazione efficace e veloce offre un ROI migliore attraverso una maggiore produttività e un risparmio di tempo per i reparti IT.

Come vengono archiviate le chiavi private sui dispositivi?

Una soluzione di autenticazione passwordless può comunque essere vulnerabile agli attacchi sui dispositivo da parte di hacker, anche se utilizza la crittografia a chiave pubblica. Malware, attacchi side-channel e reverse engineering sono tra le tante tecniche a disposizione degli aggressori che vogliono rubare le chiavi private di un sistema crittografico. Per garantire la sicurezza delle chiavi sui dispositivi mobili, i sistemi di autenticazione dovrebbero utilizzare la sicurezza basata sull’hardware, come la tecnologia TrustZone di ARM, gli ambienti di esecuzione affidabile di Android, l’enclave sicura di iOS o Samsung KNOX per archiviare le chiavi ed eseguire operazioni crittografiche.

True Passwordless™ MFA

L’implementazione di una soluzione di autenticazione passwordless efficace, è fondamentale per la conformità normativa, l’ottenimento di gare d’appalto e la riduzione dei costi assicurativi informatici. Tuttavia, molti fornitori che affermano di offrire tale soluzione offrono semplicemente una “esperienza” senza password o una sicurezza scadente. Inoltre, le soluzioni spesso si rivelano difficili da integrare con gli IdP preesistenti, o rendono improbabile l’adozione con interfacce scadenti o contorte.

HYPR fornisce una True Passwordless™ MFA che trasforma un normale smartphone in una chiave di sicurezza supportata da PKI, per un’esperienza di autenticazione familiare e semplice. In qualità di sistema di autenticazione completamente certificato FIDO, HYPR si impegna a migliorare la sicurezza e l’interoperabilità del sistema, mettendo al contempo in primo piano le esigenze della tua forza lavoro e dei tuoi clienti.

Per saperne di più sulle soluzioni di autenticazione passwordless HYPR, contattaci.

Foto di Green Pass digitali e stampati fornite dai venditori ai loro acquirenti.

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI

Netwrix acquisisce PolicyPak, sicurezza ai desktop

Netwrix acquisisce PolicyPak, sicurezza ai desktop

I Clienti PolicyPak avranno accesso al portafoglio Netwrix di soluzioni di sicurezza e conformità, per identificare e mitigare i rischi per la sicurezza dei dati Netwrix acquisisce PolicyPak, produttore di software che aiuta le organizzazioni di tutte le dimensioni a...