Francois Lasnier, VP Access Management Solutions di Thales, ci parla dei futuri e più sicuri meccanismi autenticazione senza password.
La reputazione negativa della password è iniziata quando Bill Gates ne ha dichiarato la morte nel 2004. Pur essendo uno dei più antichi strumenti di sicurezza nel mondo del software e di internet, le password, in quanto custodi delle nostre informazioni più preziose, stanno sempre più deludendo gli utenti.
L’anello debole sta nella cattiva gestione delle password – in particolare, nella stanchezza che le persone provano nel dover utilizzare molte password per accedere ai propri dati personali. Ognuno di noi ha una moltitudine di account online, dalle banche e dall’assistenza sanitaria, alle piattaforme di shopping su internet e di social media. In media un utente ne ha circa 40, quindi ricordare una password diversa per ogni account è praticamente impossibile. Questo porta a commettere molti errori.
La cosa più preoccupante, anche nel clima attuale, è che mentre il mondo è giustamente concentrato sulla lotta contro COVID-19, gli hacker ne approfittano per lanciare attacchi di spearfishing e phishing usando le informazioni sul virus come esca. Infatti, oltre il 50% dei nomi di dominio di nuova creazione legati al virus possono portare alla diffusione di malware. In questo contesto si avverte sempre più l’esigenza di educare le imprese e i loro dipendenti alla responsabilità che hanno in rete per quanto riguarda la sicurezza dei propri dati.
Tuttavia, nonostante le crescenti preoccupazioni per la sicurezza e gli ammonimenti contro l’uso di password statiche facili da indovinare per esempio: ‘123456’, ‘qwerty’ e persino ‘password’ sono ancora le combinazioni più popolari secondo uno studio di SplashData di oltre 5 milioni di password, mentre il Data Breach Investigation Report di Verizon rivela che quattro utenti su cinque riutilizza la stessa password più e più volte.
Autenticazione senza password
Non sorprende quindi che l’81% delle violazioni legate all’hacking provengano da password deboli, rubate o riutilizzate, secondo Verizon. Il semplice attacco “password spray” tenta la stessa password su un numero molto elevato di nomi utente fino a raggiungere una corrispondenza. Con password statiche che non cambiano mai e che sono facilmente intuibili, significa essenzialmente che alla fine gli hacker entreranno.
Poiché sempre più aziende sono consapevoli dei rischi della sicurezza online, stiamo vedendo convergere la tecnologia per creare alternative per la convalida dell’ID e c’è già una gamma di opzioni disponibili, che offrono sia una sicurezza efficace che una comoda esperienza utente. Entro il 2022, Gartner prevede che il 60% delle aziende di grandi dimensioni e globali avrà introdotto l’autenticazione senza password – un enorme salto rispetto all’attuale 5%.
Quindi, mentre la password classica si avvicina a scomparire e il rischio di minacce alla sicurezza cresce ogni giorno di più, non c’è tempo per ritardare l’introduzione di alternative per rendere sicuri i dati in tutta l’azienda. Con così tante opzioni già disponibili, il futuro dell’autenticazione senza password si prospetta luminoso, ma quali possibilità ci sono?
Impronta digitale
L’analisi delle caratteristiche dei dispositivi può essere utilizzata come forma di password – se la rete, il dispositivo e la posizione del dispositivo sono tutti in linea con il comportamento regolare. Queste caratteristiche creano una “impronta digitale” e se viene rilevata un’attività insolita – come l’accesso da un luogo previsto o l’utilizzo del computer di qualcun altro – l’accesso sarà negato o l’account farà scattare un controllo di sicurezza, come l’invio di un avviso di sicurezza via e-mail o di una notifica.
Tecnologia Fingerprint
Anche se il touch ID è in circolazione da qualche anno, è ancora dipendente e può essere sovrascritto da una password. In futuro, potremmo vedere i dispositivi oltre i cellulari – laptop, computer, auto elettroniche e persino le porte d’ingresso – aprirsi grazie al nostro tocco. Nel frattempo, incoraggiare i dipendenti a utilizzare la tecnologia delle impronte digitali come parte di un’autenticazione a più fattori, accanto a un pin, ad esempio, garantirà la massima sicurezza.
SMS
Nel mondo dei consumatori, i servizi online utilizzano sempre più spesso gli SMS come forma di verifica. Gli utenti forniscono un numero di telefono che di solito è precollegato a un account. Quando si collegano, inviano il loro numero di telefono e ricevono un SMS che devono inserire. Non è richiesta alcuna password.
Autenticazione senza password – Chiavi hardware
L’autenticazione dell’ID offline con una chiave fisica può sembrare arcaica, ma potrebbe essere un metodo efficace. Le chiavi di sicurezza basate su hardware – dotate di connessioni USB o NFC o di funzionalità Bluetooth – potrebbero essere utilizzate per passare da iPhone, laptop e computer, in modo sicuro e protetto. I token di sicurezza FIDO (Fast ID Online), richiedono semplicemente che gli utenti inseriscano il loro dispositivo durante il login per autenticare il loro account. Si tratta di una soluzione conveniente per i lavoratori che si spostano tra i dispositivi in ufficio e a casa.
Network
Attraverso connessioni crittografiche, la verifica dell’identificazione potrebbe essere affidata ai pari. Utilizzando i rapporti stabiliti con i colleghi, i lavoratori potrebbero garantire l’uno per l’altro, fornendo il permesso di accedere agli account.
Il battito cardiaco
I ricercatori hanno sviluppato un modo per utilizzare i modelli di battito cardiaco delle persone a fini di sicurezza. Attraverso dispositivi indossabili, la tecnologia può monitorare i battiti cardiaci delle persone e utilizzare un elettrocardiogramma per trasformarli in chiavi uniche in grado di sbloccare i telefoni o aprire le applicazioni.
Scanner dell’iride
Il prossimo passo nel software di riconoscimento dell’iride, il sistema basato sui gesti, permetterà agli utenti di accedere ai loro telefoni o ai loro conti bancari con il movimento degli occhi. Identificando il movimento degli occhi come parte di uno schema, questa password biometrica potrebbe essere estesa in futuro a tutti i dispositivi mobili e ai computer.
Autenticazione senza password – Onde cerebrali
Invece di chiedere un codice di accesso, un computer potrebbe misurare le onde cerebrali di un utente che indossa una cuffia per elettroencefalogramma. I sensori scansionerebbero l’attività cerebrale, che potrebbe poi essere utilizzata per innescare una certa azione software, come lo sblocco di un dispositivo mobile.
La morte lenta della password fa parte delle discussioni sulla sicurezza degli ultimi due decenni, ma con poche alternative. Ora, con gli esordi dell’autenticazione senza password, non ci sono semplicemente scuse per tornare alla password statica che si può facilmente indovinare. Sono disponibili più opzioni che mai – dalla verifica a due fattori alla biometria e alle chiavi hardware. Ora è il momento di agire e di apportare modifiche per garantire la protezione di una azienda e dei preziosi dati in essa contenuti.
