Eliminando le password dalla procedura di autenticazione, le aziende possono aderire a tutti i criteri di conformità, come per esempio l’Autenticazione Forte del Cliente (PSD2 SCA) e l’Autenticazione a Fattori Multipli (MFA), ed allo stesso tempo aumentare la sicurezza e l’esperienza dell’utente.
Le Password comportano costi sia per le aziende che per gli utenti
Il trapelamento delle password sta diventando sempre più frequente visto che le password usate o rubate offrono il modo migliore per rubare un account. Tendiamo a sceglierne di corte e facili da ricordare (e quindi anche da indovinare) e, utilizzandole per una miriade di siti web ed account online, siamo più inclini al loro riutilizzo.
Gli attacchi più frequenti sono quelli di forza bruta, credential stuffing, phishing oppure tramite un intermediario.
Molto probabilmente nelle ultime settimane avrete sentito tramite i vari canali di informazione notizie di almeno un caso nel quale i dati del cliente, inclusi username e password, sono trapelati.
Questo pericolo si presenta sia per piccole che per grandi aziende in settori diversi.
Di recente, per esempio, Nvidia (il gigante manifatturiero di microchip) ha confermato una breccia nella banca dati ed il suo conseguente impatto per 7100 persone.
Secondo le stime di IBM il costo medio per account in una breccia di dati è di circa €146, aumentato del 10.3% dal 2020. L’incremento è dovuto in parte al rapido passaggio al lavoro in remoto causato dalla pandemia di COVID-19.
Dato lo spostamento dei servizi su piattaforme digitali per soddisfare i bisogni societari, le aziende hanno faticato ad ampliare efficacemente le loro infrastrutture digitali creando spesso varchi nei protocolli di sicurezza. Questo ha permesso agli aggressori di prendere di mira un bacino di utenti molto più ampio e di esigere un riscatto maggiore in cambio di informazioni estremamente sensibili rendendo così le brecce di dati molto più lucrative.
Aziende diverse seguono approcci differenti nel gestire questi attacchi, molti dei quali sono mirati a ridurre il rischio di trapelamento delle password, ma perché gestire un problema che può essere eliminato fin dal principio?
Cos’è l’autenticazione senza password?
L’autenticazione senza password è semplice: eseguire l’autenticazione senza dover immettere una password. L’utente invece fornisce altre informazioni, lo username per esempio, ed un codice o notifica push viene quindi inviato su un telefono registrato. In alternativa possono essere usati anche codici QR o token FIDO2. Una volta avvenuta la conferma, l’utente viene autenticato ed è garantito l’accesso all’applicazione o servizio.
Ulteriori informazioni in merito all’autenticazione senza password possono essere trovate di seguito o su questo articolo.
L’autenticazione senza password aumenta la sicurezza ed elimina la gestione rischiosa delle password
Non avendo più password da ricordare, l’impiego di questo metodo riduce i vettori di attacco ed elimina la gestione rischiosa delle password.
Le statistiche e la ricercha hanno dimostrato quanto le persone siano poco prudenti nel gestire le proprie credenziali; utilizzano password facili da ricordare (ed anche da indovinare), le riutilizzano (per averne meno da ricordare) e le condividono con amici e familiari. Rimuovendo le password puoi superare quelle abitudini che mettono a rischio i tuoi utenti, non si può “rubare” quello che non esiste ed una password non esistente non può nemmeno trapelare.
Come l’autenticazione senza password è conforme con MFA ed Autenticazione Forte del Cliente
L’autenticazione senza password è efficace perché può essere combinata con l’Autenticazione a Fattori Multipli (MFA) e quindi essere conforme con l’Autenticazione Forte del Cliente (SCA). La procedura di autenticazione può essere impostata in modo che all’utente venga richiesto di fornire due o più fattori per avere accesso all’applicazione. I tre fattori si identificano con qualcosa che sei (inerenza), qualcosa che hai (possesso) e qualcosa che sai (conoscenza). Per essere conforme con MFA/SCA almeno due dei fattori sopra elencati devono essere riconosciuti.
QUALCOSA CHE L’UTENTE CONOSCE, per esempio il nome utente | QUALCOSA CHE L’UTENTE È, per esempio l’impronta digitale o il riconoscimento facciale | QUALCOSA CHE L’UTENTE HA, per esempio lo smartphone |
L’autenticazione senza password risolve i problemi legati a queste, ma è conforme con MFA e SCA? Metodi diversi di autenticazione senza password hanno diversi livelli di sicurezza che possono renderli conforme o meno ma, rimuovendo le password, gli utenti beneficiano subito di una superiore esperienza di autenticazione. Scegliendo metodi di autenticazione con livelli di sicurezza più forti, le aziende traggono beneficio anche dall’osservare i requisiti di conformità.
Livelli di sicurezza dei metodi di autenticazione senza password
I livelli di sicurezza dipendono dal metodo che viene utilizzato. Non tutti i metodi sono conformi con l’SCA però, scegliendo quelli che lo sono e combinandoli con un secondo (o più) fattore di autenticazione, le aziende assicurano sia una migliore esperienza del cliente che il più alto livello di sicurezza. I vari metodi di autenticazione senza password sono i seguenti:
- L’autenticazione con FIDO2 si basa su token FIDO2 i quali possono essere USB, tag NFC o semplicemente token di piattaforma già incorporati nello smartphone o nel laptop. L’esperienza varia a seconda del token utilizzato ma, in generale, richiede che l’utente schiacci un pulsante, fornisca un PIN oppure che effettui una verifica biometrica. L’obiettivo del FIDO2 è di standardizzare l’autenticazione senza password, il design è conforme con MFA/SCA ed offre il livello di sicurezza più alto.
- L’autenticazione con Codice QR avviene mostrando un codice QR che deve essere letto dall’utente. Una volta scannerizzato vengono mostrate all’utente informazioni inerenti all’autenticazione (data, ora, luogo, indirizzo IP, browser) ed in base a queste il cliente può fornire la conferma. L’autenticazione tramite codice QR funziona sia su App mobile che tramite un hardware token dedicato, il design è conforme con MFA/SCA ed offre un livello di sicurezza alto.
- L’autenticazione con notifiche Push avviene inviando una notifica al telefono dell’utente. Il design è conforme con MFA/SCA ed offre un livello di sicurezza alto.
- L’autenticazione tramite Email avviene inviando una mail contenente un codice o un link per completare la procedura. Questo metodo da solo non è conforme con MFA/SCA e comporta un livello di sicurezza più basso.
- L’autenticazione tramite SMS avviene inviando un codice o link tramite SMS. Questo metodo da solo non è conforme con MFA/SCA e comporta un livello di sicurezza più basso.
PASSWORDLESS AUTHENTICATION | AUTHENTICATOR | IS IT MFA COMPLIANT? |
---|---|---|
FIDO2 | Hardware Token | |
CODICE QR | App, Hardware Token | |
PUSH | App | |
Browser, Email | ||
SMS | Telefono |
I metodi di autenticazione senza password FIDO2, Codice QR o Notifiche Push sono conformi con MFA ed SCA in quanto si basano sul possesso, visto che l’utente deve utilizzare uno smartphone con l’app registrata oppure un Hardware Token (HW Token). Per quanto riguarda il secondo fattore, i metodi possono essere integrati con un controllo biometrico al momento dell’approvazione (inerenza) oppure un PIN prima di aprire l’app nella quale l’autenticazione viene approvata (conoscenza). La scelta dei fattori può essere adattata in base all’esperienza dell’utente desiderata ma rimane sempre e comunque conforme con l’SCA.
Altri metodi di autenticazione, come per esempio le email o gli SMS, non sono conformi con MFA ed SCA perché verificano solo il possesso e non sono in grado di provare due dei tre fattori richiesti dall’SCA.
In che modo Futurae aiuta i clienti a soddisfare la conformità alle normative
Noi di Futurae crediamo fortemente nel risolvere tre dei maggiori problemi per i nostri clienti: sicurezza, esperienza dell’utente e conformità alle normative. Grazie all’autenticazione senza password Futurae può aiutare le aziende ad instaurare fiducia e sicurezza per i loro utenti. FIDO2 è uno dei metodi più sicuri e sta diventando uno standard nel settore. Leggi di più su FIDO2 nei nostri blog.
Per assicurare la conformità con l’Autenticazione Forte del Cliente (SCA), prima va scelto un metodo di autenticazione senza password che soddisfi i requisiti MFA da combinare poi con almeno un secondo fattore come PIN o Push. Contatta i nostri esperti per sapere quanto è facile integrare l’autenticazione senza fattori nel tuo setup esistente.
Scopri di più sulle soluzioni FIDO2 di Futurae o su altri metodi senza password. Contattaci per feedback o domande.