Ovviamente, le password presentano alcuni inconvenienti significativi in termini di usabilità, inclusa la difficoltà di ricordare password multiple e sempre più complesse nella tua testa, doverle annotare da qualche parte o utilizzare un gestore di password per tenerne traccia.
Oltre alla facilità d’uso, ci sono evidenti rischi per la sicurezza con le password, in quanto possono essere facilmente compromesse da attacchi di phishing sempre più sofisticati che prendono di mira consumatori e aziende ogni giorno.
È dimostrato che pratiche inadeguate per le password e problemi di password innati portano a costosi acquisti di account, violazioni dei dati e identità rubate.
Per combattere le violazioni basate su password, alcune organizzazioni hanno adottato quella che ora è considerata l’autenticazione a più fattori legacy (MFA) come le password monouso (OTP) che hanno maggiori probabilità di essere intercettate poiché i criminali informatici possono facilmente entrare nei database OTP.
Anche l’autenticazione mobile è vulnerabile al phishing e agli attacchi informatici provenienti da metodi di attacco simili. Questi vecchi approcci sono più costosi per le aziende che devono fornire agli utenti telefoni cellulari senza la libertà dal rischio di attacchi.
Questo è esattamente il motivo per cui alcuni dei più grandi colossi tecnologici del mondo hanno deciso di eliminare del tutto la password e passare a forme moderne di MFA come passkey e chiavi di sicurezza hardware.
Standard di autenticazione a prova di phishing
Ora che tutti e tre i giganti della tecnologia (Google, Microsoft e Apple) e innumerevoli altre aziende e società in tutto il mondo hanno adottato il moderno MFA per l’accesso sicuro ai loro servizi, stiamo per sostituire le password con moderni standard di autenticazione aperti, come il phish- FIDO2 resistente Fraudolento (Fast Identity Online v2).
Lo standard FIDO2 offre un’esperienza utente più semplice, fornisce diversi modi per verificare le identità degli utenti e può pubblicare uno strumento esterno come una chiave di sicurezza. Ciò incoraggia il passaggio dalle password a metodi più sicuri e facili da usare.
Lo standard FIDO2 fornisce alle organizzazioni un’autenticazione più sicura basata sulla crittografia a chiave pubblica, eliminando la necessità di password e, quindi, la vulnerabilità alle violazioni dei dati. I giganti della tecnologia hanno lavorato con noi per sviluppare FIDO2, incoraggiando l’uso diffuso di dispositivi di sicurezza a prova di phishing e facili da usare ed eliminando molti problemi associati alle password per decenni.
Incoraggiare l’adozione dell’approccio AMF
Come accennato in precedenza, le principali aziende stanno adottando l’approccio MFA anti-phishing utilizzando lo standard FIDO2 per tutte le piattaforme mobili, desktop e browser sotto il loro ombrello.
Questi includono iCloud, iOS e macOS di Apple; Chrome, ChromeOS e Android di Google; Microsoft Windows, Windows 365, desktop virtuale di Azure e infrastruttura desktop virtuale, utilizzati da miliardi di persone ogni giorno.
Insieme, le tre società rappresentano oltre il 99% degli utenti mobili e oltre il 92% degli utenti desktop, rendendo l’adozione diffusa di FIDO2 un passo importante per garantire una maggiore sicurezza informatica per tutti. A causa della loro ubiquità, questi tre giganti della tecnologia hanno un impatto significativo sul lato dell’offerta, che probabilmente genererà un’enorme domanda di dispositivi di sicurezza hardware e altri moderni metodi MFA.
Abbiamo visto altri attori dell’ecosistema, come provider di gestione di identità e accessi (IAM), provider di reti private virtuali (VPN) e altri adottare FIDO2 come metodo di autenticazione preferito.
Cosa sono le passkey e le chiavi di sicurezza?
Le passkey sono credenziali FIDO rilevabili che consentono agli utenti di autenticarsi ai siti Web senza una password.
Due tipi di credenziali FIDO rilevabili abilitano l’autenticazione senza password e sono “sincronizzabili” o legate all’hardware.
Le passkey sincronizzabili possono essere sincronizzate su smartphone, tablet, laptop/desktop e sono destinate principalmente a scenari consumer per evitare password soggette a phishing.
Al contrario, le passkey legate all’hardware, in cui le credenziali FIDO rimangono su un autenticatore mobile (come una chiave di sicurezza come YubiKey), sono un vantaggio per le organizzazioni e i consumatori ad alta conferma o solo per i casi d’uso ad alta conferma.
Device Security Key è la soluzione perfetta per garantire una maggiore protezione, affidandosi a un dispositivo fisico sbloccato da un codice PIN univoco o da un’impronta biometrica per accedere all’account.
Richiede che l’utente sia in possesso del dispositivo ed è un metodo di verifica più affidabile rispetto a nome utente e password. Le organizzazioni possono anche conformarsi allo standard FIDO2, che sostituisce completamente le password.
Passando all’utilizzo senza password utilizzando FIDO2
Molte organizzazioni saranno ora incoraggiate a muoversi verso un futuro senza password per garantire che i loro sistemi siano più sicuri.
L’implementazione di queste pratiche contribuirà a mitigare i rischi informatici e consentirà al personale IT di dedicare più tempo a progetti strategici.
Tuttavia, ora che i grandi attori sono pienamente d’accordo con il servizio senza password con cui tutti abbiamo a che fare ogni giorno, l’adozione dei moderni metodi di autenticazione aumenterà notevolmente. È chiaro che le password non scompariranno presto e ci vorrebbe sicuramente uno sforzo su scala globale per far sì che tutte le app e i siti Web si allontanino da loro insieme. Sebbene un futuro senza password sia sulla nostra strada, l’integrazione completa della tecnologia FIDO2 ovunque richiederà tempo.
Formazione degli utenti
Poiché senza password è tanto un cambio di paradigma culturale quanto un cambiamento tecnologico, l’educazione degli utenti è essenziale. Decenni di abuso di password sono una grande abitudine da rompere!
Quindi le organizzazioni dovranno fare di tutto per aumentare la consapevolezza, in modo che i loro utenti possano sentirsi a proprio agio con la nuova tecnologia senza password. Eventuali dubbi su questo modo più sicuro e conveniente di accedere al proprio account possono essere alleviati.
Siamo sulla strada giusta verso accessi sicuri e facili con passkey su dispositivi e piattaforme. Le passkey risolvono un problema globale e ci consentono di allontanarci dalle password per ridurre le violazioni informatiche e di phishing.
Tieni presente, tuttavia, che una dimensione non va bene per tutti e dobbiamo fare attenzione a considerare i compromessi tra passkey “sincronizzabili” e chiavi di sicurezza con un certificato hardware per dove sono archiviate le credenziali.
“Pluripremiato specialista televisivo. Appassionato di zombi. Impossibile scrivere con i guantoni da boxe. Pioniere di Bacon.”