mirkosigno

Servizi di autenticazione senza password

Scritto il mirkosigno

10 aprile 2024

Il panorama digitale del 2024 è in rapida evoluzione e con esso la necessità di rivalutare le pratiche tradizionali di cybersecurity, in particolare la dipendenza dalle password. Recenti studi e sviluppi nel campo della sicurezza informatica sostengono con forza la necessità di una transizione verso un futuro senza password. Questo post del blog approfondisce le ragioni per cui le password dovrebbero diventare una reliquia del passato nel 2024. 

Indice dei contenuti

Lo stato pericoloso della sicurezza delle password

Uno studio completo condotto dal Georgia Tech rivela un quadro sorprendente dello stato attuale della sicurezza delle password. Lo studio, che ha coinvolto una valutazione di 20.000 siti web, ha rilevato che: Uno sconcertante 75% dei siti web non richiede il minimo raccomandato di otto caratteri per le password, più della metà dei siti accettava password con sei caratteri o meno e solo il 12% applicava un elenco di blocco delle password, lasciando la maggior parte vulnerabile ai comuni attacchi alle password.

I problemi con le password

In breve, le password presentano tre problemi principali:

  • Riutilizzabilità: Nonostante le migliori pratiche, il riutilizzo delle password è dilagante. Un sondaggio di Bitwarden ha rilevato che l’84% degli intervistati riutilizza le password su più siti.
  • Falsificabilità: Le password sono suscettibili di attacchi di phishing, con un aumento del 41% di tali attacchi nella prima metà del 2023.
  • Costi: oltre ai rischi per la sicurezza, la gestione delle password è costosa per le organizzazioni, con una spesa media di circa 480 dollari per dipendente all’anno.

Questi risultati sottolineano le debolezze intrinseche dei sistemi di sicurezza basati sulle password, che espongono milioni di utenti a potenziali minacce informatiche.

Il passaggio all’autenticazione senza password

Il movimento verso un futuro senza password sta guadagnando terreno. Okta, leader nella gestione dell’identità e degli accessi, ha già raggiunto il 98% di assenza di password nella sua forza lavoro. Forbes prevede che entro la fine del 2023 l’80% delle aziende Fortune 500 avrà formalizzato e messo a bilancio progetti di autenticazione senza password. Questo cambiamento è dovuto a due fattori principali:

  1. Esperienza utente: I sistemi senza password offrono un’esperienza utente più snella ed efficiente, liberando le persone dall’onere di ricordare più password.
  2. Posizione di sicurezza: L’eliminazione delle password come vettore di attacco migliora significativamente la sicurezza generale. 

Servizi di autenticazione senza password

Mentre il panorama digitale si muove verso un futuro senza password, diversi servizi sono emersi come leader in questo settore. Ecco undici (11) servizi di autenticazione senza password degni di nota:

  1. Passkeys: Utilizzato dai servizi Apple, una passkey utilizza Touch ID o Face ID per identificarti. Se il Mac o Magic Keyboard dispongono di Touch ID, puoi effettuare l’accesso con Touch ID. Richiede IOS 12 o superiore.
  2. Microsoft Authenticator: Questo servizio consente l’accesso senza password attraverso un’applicazione mobile, utilizzando la biometria avanzata e le chiavi di sicurezza per un’autenticazione sicura.
  3. Duo Security (by Cisco): Nota per la sua versatilità, Duo Security offre diversi metodi di autenticazione, tra cui le notifiche push e l’Universal 2nd Factor (U2F), garantendo un accesso sicuro e senza password.
  4. Yubico YubiKey: Questa chiave di sicurezza hardware supporta una serie di protocolli di autenticazione, offrendo un accesso robusto, senza password e a prova di phishing.
  5. Okta FastPass: Una soluzione completa, Okta FastPass consente l’autenticazione senza password su diversi dispositivi e piattaforme, utilizzando la biometria e i fattori contestuali per un accesso sicuro.
  6. RSA SecurID Access: Questo servizio offre una serie di opzioni di autenticazione senza password. I suoi metodi includono la biometria e le notifiche mobili push, bilanciando una maggiore sicurezza con la comodità dell’utente.
  7. Auth0: Auth0 è una piattaforma di gestione delle identità e degli accessi molto diffusa che offre solide opzioni di autenticazione senza password.
  8. Ping Identity: Ping Identity offre soluzioni di autenticazione senza password che sfruttano fattori come la biometria, le notifiche push mobili e i token hardware.
  9. LastPass: LastPass offre opzioni di autenticazione senza password, tra cui l’autenticazione biometrica e le funzionalità di single sign-on (SSO).
  10. OneLogin: OneLogin offre l’autenticazione senza password con il supporto di vari fattori come la biometria, l’autenticazione mobile e le smart card.
  11. DASH-Passwordless: una soluzione di autenticazione all’avanguardia progettata per offrire un accesso sicuro e senza password, sfruttando metodi avanzati come la biometria e la verifica dei dispositivi mobili.

È utile anche riconoscere FIDO2. Pur non essendo un servizio specifico, FIDO2 è uno standard aperto per l’autenticazione senza password supportato da varie piattaforme e fornitori. Consente l’autenticazione senza password utilizzando dispositivi come chiavi di sicurezza, biometria e smartphone.

Questi servizi (i suggerimenti sono benvenuti) rappresentano l’avanguardia della tecnologia di autenticazione senza password, ognuno dei quali offre caratteristiche uniche per soddisfare le esigenze in evoluzione della sicurezza digitale. 

Autenticazione biometrica e comportamentale

Autenticazione biometrica: Questo metodo utilizza caratteristiche fisiche uniche di un individuo per l’identificazione e il controllo dell’accesso. Le forme più comuni includono le impronte digitali e il riconoscimento facciale, che sono ormai caratteristiche standard di molti smartphone e computer portatili. La biometria offre un livello di sicurezza superiore rispetto alle password tradizionali, poiché queste caratteristiche sono estremamente difficili da replicare o da rubare.

Biometria comportamentale: Si tratta di uno sviluppo all’avanguardia nel campo dell’autenticazione. La biometria comportamentale analizza gli schemi delle attività umane, come il modo in cui una persona scrive, la velocità di battitura, i movimenti del mouse e persino l’andatura mentre cammina. A differenza della biometria fisica, che richiede una registrazione e una convalida una tantum, la biometria comportamentale monitora e autentica continuamente un utente in base al suo comportamento. Questo metodo è molto efficace nel rilevare gli impostori, poiché è difficile imitare accuratamente il comportamento di un’altra persona nel tempo.

Vantaggi di questi metodi: Sia l’autenticazione biometrica che quella comportamentale offrono una maggiore sicurezza sfruttando caratteristiche individuali uniche, difficili da duplicare. Inoltre, offrono un’esperienza più semplice per l’utente, in quanto spesso eliminano la necessità di ricordare password complesse. Inoltre, questi metodi possono adattarsi ai cambiamenti del comportamento o degli attributi fisici dell’utente nel corso del tempo, rendendoli più flessibili e robusti contro vari tipi di minacce informatiche. 

Autenticazione a più fattori (MFA)

L’MFA aumenta la sicurezza, ma non è privo di limiti. Ad esempio, l’MFA basata su SMS, pur essendo più sicura dell’autenticazione con sola password, non è del tutto resistente al phishing. È sempre più importante implementare nei sistemi MFA fattori resistenti al phishing, come i controlli biometrici.

Migliorare l’MFA con fattori resistenti al phishing: Per contrastare queste vulnerabilità, si sta passando all’incorporazione di fattori resistenti al phishing nell’MFA. Ciò include l’uso di verifiche biometriche (come il riconoscimento delle impronte digitali o del volto) e di chiavi di sicurezza hardware. Questi metodi sono più sicuri perché si basano su caratteristiche fisiche o dispositivi più difficili da replicare o rubare.

MFA adattivo: un altro progresso è l’MFA adattivo, che regola il metodo di autenticazione in base al rischio percepito della richiesta di accesso. Ad esempio, potrebbe richiedere fattori aggiuntivi per i tentativi di accesso da luoghi o dispositivi sconosciuti, bilanciando così la sicurezza con la comodità dell’utente. 

Autenticazione senza password: la strada da seguire!

L’idea di un futuro senza password non è recente, ma è nata da tempo. Già nel 2004, Bill Gates aveva previsto il declino delle password tradizionali. Riconoscendo le vulnerabilità intrinseche della sicurezza basata sulle password, prevedeva un futuro in cui metodi di autenticazione più solidi e sicuri le avrebbero sostituite.

A distanza di quasi due decenni, ci troviamo sulla cuspide di questo cambiamento. Giganti tecnologici come Google, Apple e Microsoft hanno guidato il movimento verso un’era senza password. Hanno sfruttato tecnologie all’avanguardia come i passkeys per trasformare questa visione in realtà. I passkeys rappresentano un approccio rivoluzionario all’autenticazione, in quanto si basano su chiavi crittografiche memorizzate sui dispositivi piuttosto che su password memorizzate. Questo metodo innovativo aumenta la sicurezza ed elimina i rischi associati al furto di password e agli attacchi di phishing.

Oltre ai progressi tecnologici, anche le misure legislative stanno portando avanti questo cambiamento. La legislazione eIDAS2 dell’Unione Europea è un passo fondamentale nella standardizzazione dell’identità digitale in tutti gli Stati membri. Essa prevede la creazione di portafogli digitali per i cittadini, che possono essere utilizzati come verifica ufficiale dell’identità su varie piattaforme, riducendo così la dipendenza dalle password. Analogamente, la legislazione proposta nel Regno Unito mira a rafforzare le identità digitali, ponendo le basi per metodi di verifica dell’identità solidi e affidabili.

Conclusione

Alle porte del 2024, la transizione verso un ambiente digitale senza password non è solo un imperativo tecnologico, ma una necessità sociale. Le vulnerabilità dei sistemi basati su password, da tempo riconosciute da visionari come Bill Gates, sono sempre più insostenibili nel nostro mondo digitalmente interconnesso.

I principali attori tecnologici e gli organi legislativi si stanno allineando per ridefinire la sicurezza e l’identità digitali. L’evoluzione dalle password tradizionali a metodi di autenticazione avanzati come la biometria, l’analisi comportamentale e i passepartout, sostenuta da iniziative legislative globali come l’eIDAS2 dell’UE e la proposta di legge sull’identità digitale del Regno Unito, sta aprendo la strada a un’esperienza digitale più sicura, efficiente e facile da usare.

Questo cambiamento non riguarda solo l’adozione di nuove tecnologie, ma anche la trasformazione del nostro approccio alla sicurezza e all’identità digitale. Promette di migliorare la comodità degli utenti, di rafforzare la sicurezza informatica e di semplificare le interazioni digitali, favorendo così un ecosistema digitale più affidabile.

Man mano che questa transizione acquista slancio, diventa sempre più importante per gli individui, le organizzazioni e i governi abbracciare questi cambiamenti, assicurando un futuro digitale più sicuro e senza interruzioni per tutti. In sostanza, il futuro senza password rappresenta un cambiamento di paradigma nella sicurezza digitale, che si allinea alle esigenze in evoluzione della nostra era digitale e alla necessità di solide misure di sicurezza informatica in un mondo sempre più connesso.

/ 5
Grazie per aver votato!

2 Risposte a “Servizi di autenticazione senza password”

  1. Io ho attivato quello della Apple, sono contentissimo, ma domanda: se il Face ID non funziona per qualche motivo, sono fregato?

    Rispondi

    1. Se fallisse il Face ID, hai sempre la possibilità di usare la password. Chiaramente se perdi pure quella, dovrai fare l’iter per dimostrare chi sei.

      Rispondi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario