Passwordless authentication. Con OKTA puoi!
Passwordless authentication. Ci sono due vantaggi principali nel push senza password. Il primo è incentrato sull’esperienza dell’utente e su tutti i vantaggi derivanti dall’essere liberi dalla password. Il secondo riguarda il livello di sicurezza. Può essere notevolmente migliorato eliminando le password come vettore di attacco. Entrambi i vantaggi sono sostanziali. Nessuno dei due da solo dipinge il quadro completo del motivo per cui così tante aziende stanno evolvendo i propri approcci di autenticazione.
The trouble with passwords.
Perché la password è così problematica? Innanzitutto, è riutilizzabile. La pratica migliore è utilizzare un gestore di password e archiviare password univoche e complesse per ciascun sito Web e servizio. Nella pratica ciò fallisce. Il riutilizzo delle password può rendere un singolo incident più pericoloso. La violazione di un fornitore o il phishing riuscito di un sito Web possono diffondersi ad altri. Il riutilizzo delle password è dilagante. In un recente sondaggio condotto da Bitwarden, l’84% degli intervistati ha affermato di riutilizzare le password e più della metà ha affermato di riutilizzarle su 5 o più siti.
Il Phishing.
Anche se ci consideriamo dei diligenti interlocutori dell’igiene delle password, le password rimangono oggetto di phishing. Il phishing avviene quando un utente malintenzionato utilizza il social engineering per ottenere dati utente segreti. Attacchi person-in-the-middle, brute force attacks, credential stuffing e attacchi di replay sono tutti esempi di attacchi di phishing. Purtroppo, questi rischi sono in aumento. Secondo Perception Point, gli attacchi di phishing sono aumentati del 41% nella prima metà del 2023 rispetto ai sei mesi precedenti.
I costi.
Anche per le ragioni sopra esposte, le password sono costose da mantenere. I consumatori devono dedicare tempo alla gestione delle proprie password. Anche in questo caso, il phishing può rendere discutibili tali sforzi. I problemi relativi alle password e i ticket dell’help desk che li risolvono causano forti cali nella produttività della forza lavoro delle aziende. Secondo Beyond Identity, infatti, questi problemi costano alle aziende circa 480 dollari all’anno per dipendente.
Passwordless, si o no?
Nella storia e tecnologia dell’autenticazione, le password sono probabilmente l’opzione più debole. Eliminare le password risolverà tutti i problemi dell’autenticazione moderna? Non proprio. Gli approcci alternativi hanno i propri limiti da considerare. Ad esempio, sperando di mitigare i rischi delle password o di eliminarle dai flussi di autenticazione, molte aziende oggi richiedono agli utenti di accedere tramite autenticazione a più fattori (MFA). Questo è certamente un passo in una direzione più sicura. Ma alcuni tipi di fattori MFA, come i messaggi SMS, non sono necessariamente resistenti al phishing.
SMS, sono sicuri?
Gli SMS hanno raggiunto l’ubiquità globale come tecnologia di autenticazione, diventando sempre più comuni sul lato dell’identità del cliente. Rappresenta inoltre un miglioramento significativo nella sicurezza dell’identità rispetto alla base di riferimento basata solo sulla password. Nel mondo del lavoro, tuttavia, per anni gli SMS sono stati considerati un autenticatore fuori banda poco affidabile. E poiché le conseguenze degli incidenti di phishing possono essere enormi in un contesto di forza lavoro, i metodi di autenticazione devono essere più robusti.
SMS, perchè utilizzarli?
Perché alcune aziende consentono ancora metodi come gli SMS? È la consapevolezza che incontriamo i nostri utenti dove sono: nella loro esperienza utente e nella loro tolleranza al rischio. L’autenticazione MFA che coinvolge gli SMS è ancora più sicura della sola autenticazione basata su password. Potrebbe trattarsi semplicemente di un passo intermedio accettabile verso il nostro obiettivo finale: la resistenza al phishing.
MFA e resistenza al phishing.
Un’implementazione da parte del personale che rimuove le password ma le sostituisce con SMS o notifiche push può effettivamente migliorare l’esperienza dell’utente. Garantire che sia richiesto un fattore di resistenza al phishing per tutti gli accessi alle risorse porta tale livello di sicurezza a un nuovo livello. Le tecnologie resistenti al phishing possono migliorare l’autenticazione a più fattori aggiungendo un ulteriore livello di sicurezza. Aggravano e rafforzano l’MFA di base e inoculando il flusso contro gli attacchi di phishing. Ciò può essere fatto con meccanismi che dimostrino le intenzioni dell’utente al momento dell’accesso, come la richiesta di un controllo biometrico per continuare il flusso di autenticazione. Un altro meccanismo comune è l’eliminazione della necessità di un segreto condiviso utilizzando la crittografia a chiave pubblica. WebAuthn, basato sullo standard FIDO2, è tra gli esempi più visibili di questo approccio.
Nuove sfide.
Naturalmente, non è un compito da poco rendere efficaci le tecnologie resistenti al phishing e senza password nell’implementazione della forza lavoro. Rimangono ancora importanti sfide amministrative relative alla verifica dell’identità, all’attivazione e al recupero delle credenziali resistenti al phishing. Tuttavia, poiché il settore della sicurezza dell’identità continua a fare passi da gigante, si presenta un’entusiasmante opportunità. L’implementazione e il funzionamento di queste tecnologie tendono alla semplificazione.
Il futuro della workforce security.
Sarà l’esperienza dell’utente a guidare l’adozione di queste soluzioni. Il comportamento dei consumatori influenza spesso le tecnologie adottate all’interno dell’azienda, in particolare quelle promosse dai produttori di dispositivi. Mentre cerchi di spostare la tua azienda verso tecnologie senza password, assicurati di tenere a mente il motivo per cui lo fai I miglioramenti dell’esperienza utente possono essere eccezionali e saranno senza dubbio un vantaggio per i casi d’uso dei clienti. Ma non diventiamo così concentrati sull’eliminazione delle password e sull’abilitazione dell’esperienza senza password da perdere di vista i principi che stiamo perseguendo rimuovendole. “Diventare senza password” non è che uno dei mezzi: la resistenza al phishing è la destinazione a cui tutti aspiriamo.
Approfondisci la soluzione OKTA https://bludis.it/prodotto/okta/ o contattaci per maggiori informazioni. Chiama lo 0643230077 o invia una e-mail a sales@bludis.it
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.