Separare i fatti dalla finzione nel viaggio verso l’autenticazione passwordless

01/03/2021
Lo scopo di questo post è quello di adottare un approccio obiettivo per comprendere le sfide che presentano le password, cosa significa “passwordless” e cosa possono aspettarsi le aziende che intraprendono il viaggio verso l’autenticazione senza password dei propri utenti, analizzando i fatti e la finzione. Ora, è difficile avere una conversazione sulla mancanza di password se non c’è stata prima una conversazione sulle password.

Pronunciando la parola “passwordless” in una stanza piena di professionisti della sicurezza si possono ottenere diverse reazioni, da un sorriso ironico a un abbandono della stessa stanza. Questo perché la comunità della sicurezza delle informazioni sa che “passwordless” è un termine complicato, e il settore è pieno di posizioni diverse e contraddittorie sull’argomento.

Il paradosso delle password

Le password sono la forma più comune di autenticazione degli utenti e sono facili da odiare perché offrono un livello di sicurezza debole e una difficile esperienza per gli utenti. Per definizione, una password è un segreto condiviso. Il segreto è noto all’utente e al servizio di convalida, è spesso memorizzato su vari dispositivi e può anche essere condiviso nei messaggi o su di un Post-it. Ogni servizio, dispositivo o utente che sia a conoscenza di quel segreto può essere l’obiettivo di un attacco informatico.

Per migliorare la sicurezza, le best practice impongono che le password siano univoche e complesse. Tuttavia, queste pratiche sono sempre più inefficaci contro i moderni attacchi di phishing, e rendono le password ancor più difficili da usare. Per evitare flussi di “password dimenticata”, si diventa tentati di condividere le password tra i servizi (il che, ancora una volta, aumenta i rischi per la sicurezza).

Inoltre, la sicurezza e l’usabilità sono in contrasto con le password. Una migliore sicurezza porta a un’esperienza utente peggiore e viceversa. Quindi è ora di dire addio alle password, giusto? Non così in fretta.

In realtà, c’è molto da apprezzare sulle password. Sebbene le password possano offrire scarsa sicurezza e usabilità, sono ancora ampiamente utilizzate per diversi motivi:

  • Portabilità : una password o un segreto condiviso può essere applicato a quasi tutto: accesso a dispositivi, documenti, account, servizi. Implementare questa forma di autenticazione, rendendo davvero facile l’accesso a qualcosa, non richiede molta infrastruttura.
  • Compatibilità : con pochissime eccezioni, ogni applicazione e servizio che utilizzi ha una password. Certo, potrebbe essere necessario un secondo fattore aggiuntivo per l’autenticazione, ma la password è fondamentale e universale. Non devi mai davvero pensare se un servizio è compatibile o meno con il concetto di password. L’immissione delle password è l’attività predefinita che svolgiamo tutti i giorni.
  • Interoperabilità : sia che si stia effettuando l’autenticazione su un computer, smartphone, Nintendo o Apple TV, si può inserire facilmente una password. Le password sono universalmente supportate e non è necessario eseguire l’aggiornamento al dispositivo mobile più recente o installare il software client per utilizzare una password. Funzionano e basta.

Perché questo è importante? Se l’obiettivo è di mandare in pensione l’autenticazione tramite password, qualsiasi alternativa ha bisogno di offrire significativi miglioramenti sia per la sicurezza che per la fruibilità, senza compromettere i nostri bisogni per la portabilità , compatibilità , e l’interoperabilità . Per mettere questi concetti in prospettiva, definiamo il termine “passwordless”.

Cos’è l’autenticazione passwordless?

Negli ultimi anni, il termine “passwordless” ha preso piede e ora è utilizzato da molti fornitori di soluzioni di sicurezza, autenticazione e identità, ciascuno con la propria sfumatura unica. Per chiarezza, forse meglio usare una definizione più ampia. In Yubico, è stata adottata la seguente definizione:

L’autenticazione passwordless è qualsiasi forma di autenticazione che non richiede all’utente di fornire una password all’accesso.

Può sembrare semplice, ma c’è un po’ da elaborare in merito. Esistono molte implementazioni diverse dell’autenticazione passwordless, e tutte hanno dei compromessi. Ad esempio, alcune implementazioni passwordless sono progettate specificamente per risolvere i problemi di usabilità:

SMS  : molti si riferiscono alla verifica tramite SMS come passwordless, semplicemente perché non è necessario ricordare una password. Di solito viene inviato un codice OTP valido per un breve periodo di tempo che l’utente può utilizzare per autenticarsi. (E non sottolineiamo l’ironia del fatto che “OTP” sta per “password monouso – One Time Password”)

Email Magic Link : un collegamento univoco con un token viene creato per un utente e consegnato a un’e-mail. Facendo clic sul collegamento si verifica l’utente per quel particolare servizio.

Esistono varianti dell’utilizzo di SMS per fornire il Magic Link, ma in generale questi due flussi di autenticazione possono offrire una migliore usabilità rispetto alle password. Tuttavia, entrambi sono altamente suscettibili al phishing. Se l’utente viene indotto a digitare il codice OTP o a fare clic sul magic link, nessuna di queste soluzioni senza password offre molta sicurezza. Consulta il nostro blog su “In che modo il phishing moderno sconfigge l’autenticazione a più fattori di base “.

Altre implementazioni di passwordless sono progettate specificamente per affrontare i problemi di sicurezza:

Smart card (PIV / CAC) : le smart card sono uno dei modi più efficaci per proteggersi dal phishing. L’utente deve inserire la propria smart card in un lettore e convalidare la smart card con un PIN univoco. Questo è un modo infallibile per fermare gli attacchi di phishing remoti nelle loro tracce. Ma le smart card tradizionali non sono molto portatili, compatibili o interoperabili. Può essere complesso e costoso implementare le smart card tradizionali su larga scala, rendendole difficili da usare e inaccessibili per la maggior parte delle persone e di molte aziende.

Password vs PIN

Dal punto di vista dell’usabilità, possono sembrare molto simili, qualcos’altro da ricordare. Ma dal punto di vista della sicurezza, sono molto diversi. Una password viene trasmessa e convalidata su un server, il che significa che può essere intercettata o rubata. Un PIN è locale per il dispositivo. Ad esempio, quando utilizzi la tua carta di debito presso un bancomat, il PIN sblocca solo la carta di debito. Non viene mai trasmesso o archiviato altrove. Ecco perché quando viene rubata una carta di debito e viene emessa una nuova carta, è necessario selezionare un nuovo PIN.

Ci sono alcuni motivi per cui questa distinzione è importante.
  1. Un PIN è molto più sicuro di una password (oh yes).
  2. La maggior parte delle forme complesse di autenticazione senza password richiede un PIN, quindi devi comunque ricordare qualcosa (sorry).
  3. La maggior parte degli autenticatori biometrici utilizza il viso o l’impronta digitale per “rilasciare” il PIN per eseguire l’operazione, e per impostazione predefinita il PIN non è disponibile (come quando riavvii un iPhone o provi a sbloccarlo mentre indossi una maschera). In altre parole, l’autenticatore biometrico non sostituisce effettivamente il PIN.

Microsoft fornisce anche molte informazioni utili che spiegano “Perché un PIN è meglio di una password” .

Il ruolo degli standard aperti e delle piattaforme di identità

Ci vuole un ricco ecosistema di standard aperti costruito per ottenere sicurezza e usabilità, soddisfacendo anche la necessità di portabilità, compatibilità e interoperabilità per scalare alle masse. Fin dall’inizio, Yubico ha sostenuto standard di sicurezza aperti per raggiungere questi obiettivi. Yubico ha aperto la strada aprendo la strada agli standard aperti WebAuthn e FIDO e ha lavorato con giganti della tecnologia come Google, Microsoft e Apple per integrare questi standard nei sistemi operativi e nei browser che usiamo ogni giorno. Questi standard, associati a una YubiKey , consentono un’autenticazione forte su dispositivi, app e servizi senza alcun software proprietario aggiuntivo. Funziona e basta.

Le soluzioni di Identity and Access Management (IAM) (ad esempio Azure Active Directory, Onelogin, Okta, Duo, Ping) hanno anche adottato standard aperti sovrapponendosi ai giganti della piattaforma per fornire la funzionalità e la scala di cui le aziende hanno bisogno per adottare una forte autenticazione senza password per le aziende critiche applicazioni e servizi.

Se hai già investito in una piattaforma IAM, esplora le opzioni senza password che offrono. La maggior parte avrà un’app di autenticazione mobile per aumentare alcune delle esperienze utente su vari sistemi legacy fornendo un’esperienza alternativa senza password non WebAuthn / FIDO. Sebbene l’autenticazione mobile sia più forte di una password, le app di autenticazione mobile possono essere modificate , motivo per cui tutte le principali piattaforme IAM hanno il supporto nativo per le chiavi di sicurezza hardware come YubiKey.

Il ponte verso il passwordless

Passwordless è un percorso, non una transizione dall’oggi al domani. E Yubico è in questo percorso con te.

Questo periodo transitorio è ciò per cui YubiKey è stato progettato: per essere in grado di incontrarti esattamente dove sei ed evolversi con la tua infrastruttura di sicurezza. Le YubiKeys non richiedono software client o periferiche, come un lettore di schede. E abbiamo progettato YubiKey per supportare la più ampia serie di protocolli di sicurezza. Puoi porre fine alle acquisizioni di account ora utilizzando YubiKey resistente al phishing come secondo fattore oltre a una password. E la stessa YubiKey può essere implementata in ambienti senza password con i nostri partner IAM come smart card o chiave di sicurezza FIDO2. YubiKey è davvero il tuo ponte verso il passwordless

Insieme all’ecosistema degli standard aperti e ai partner IAM, Yubico è entusiasta di offrire sicurezza e usabilità su qualsiasi scala, senza compromessi.

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI