Le aziende stanno cominciando a invertire la rotta su quello che è uno dei capisaldi della sicurezza tecnologica, le password, preferendo adottare sistemi di accesso intrinsecamente più sicuri di tipo passwordless che non prevedono l’uso di credenziali esposte a furti.
Ad esempio, la Fast Identity Online Alliance (FIDO) ha lavorato, per più di dieci anni, a un sistema che permette agli utenti di effettuare il login ai loro profili online semplicemente utilizzando il sistema di sblocco dei loro smartphone o computer. In questo modo, la password non deve essere inviata tramite reti suscettibili di interferenze esterne e gli utenti possono connettere una “key” pubblica, presente sul server del fornitore di servizi per gli account, ad una privata, che non può essere rimossa dal loro dispositivo.
I 10 migliori password manager: cosa sono, come usarli e perché sono utili anche alle aziende
Indice degli argomenti
Sostituire le password con parametri biometrici
La FIDO Alliance è stata una delle prime realtà concepite per sostituire le password tradizionali con parametri biometrici. Dopo la sua istituzione nel 2013, numerose aziende tecnologiche hanno preso parte al progetto come Amazon, Facebook, Google, Intel, Microsoft, MasterCard, PayPal, Samsung e Visa.
Nel 2018, la FIDO Alliance ha lanciato insieme alla World Wide Web Consortium (W3C) il FIDO2 Project al fine di rafforzare i sistemi di sicurezza. Uno dei suoi componenti principali è il Web Authentication (WebAuthn) che offre un’Application Programming Interface (API) realizzabile su qualsiasi sito web o servizio e capace di delegare l’autenticazione a endpoint come telefoni cellulari o computer. Inoltre, queste applicazioni possono funzionare in un ambiente multilivello; ossia, l’utente può autenticarsi attraverso vari metodi di riconoscimento.
Le prime versioni del sistema richiedevano agli utenti l’inserimento di una password su nuovi dispositivi per ogni account, così da non doverla più utilizzare in seguito, per gli accessi successivi. Attualmente, invece, FIDO ha trovato un modo per permettere agli utenti di accedere attraverso l’identificazione dei loro volti, impronte digitali e codici PIN, anche su nuovi dispositivi.
Questo update consente agli utenti di non avere più bisogno di password. Ogni volta che verrà utilizzato un nuovo dispositivo, le credenziali saranno già presenti.
Come funzionano i sistemi passwordless
La FIDO Alliance ha pubblicato un white paper nel quale vengono descritti non solo la propria visione per quanto concerne la risoluzione delle problematiche inerenti alle funzioni “passwordless”, ma anche i loro investimenti finalizzati all’integrazione di FIDO2 e WebAuthn presso Windows, Android, iOS e molti altri sistemi.
L’obiettivo è di rendere l’utilizzo delle password una pratica obsoleta e complicata, educando i consumatori alle alternative e farli abituare ad un cambiamento graduale.
Le informazioni biometriche degli utenti vengono inviate a un server, elaborate e memorizzate come “minutiae points”. Questi ultimi saranno gli elementi di una libreria che verrà interrogata ad ogni nuovo accesso, qualora i dati biometrici siano stati precedentemente immagazzinati, l’utente verrà autenticato.
Il vantaggio di questo metodo è l’utilizzo del sistema biometrico, che complica notevolmente la possibilità, ad attori malintenzionati, di rubarli e ricrearli autonomamente.
Sensibilizzare all’uso dei sistemi passwordless
Tuttavia, questi cambiamenti stanno rappresentando una sfida per FIDO, a causa della realtà esistente in cui le password svolgono un ruolo fondamentale nella quotidianità; inoltre, le questioni legate alla privacy, rendono più complessi tali cambiamenti, in quanto gli utenti sono preoccupati di dover utilizzare i loro dati biometrici per poter sbloccare i propri profili o dati sensibili.
La priorità di FIDO è sensibilizzare gli utenti all’utilizzo ai nuovi meccanismi d’accesso e di rendere gli account più sicuri, eliminando gradualmente il rischio di phishing.
Le truffe in questo ambito non solo facilitano l’aumento dei profitti dei criminali, ma possono giocare anche un ruolo importante per quanto concerne lo spionaggio e gli attacchi informatici, che stanno influenzando sempre di più la geopolitica e gli eventi globali.
Il problema della sostituzione delle password tradizionali
Alla luce dei recenti sviluppi, numerosi esperti di cyber security hanno predetto la fine dell’utilizzo delle password. Allo stesso tempo però, potrebbero emergere alcune criticità.
Nonostante i progressi di FIDO, le password non potranno essere eliminate in tempi brevi, per diverse ragioni: in primo luogo, non tutte le persone hanno uno smartphone o dispositivi con i quali implementare questi nuovi meccanismi; in secondo luogo, le password, soprattutto quelle complesse, rappresentano un modo rapido e conveniente per proteggere le informazioni sensibili e le infrastrutture IT.
Una ricerca dell’Identity Theft Resource Center (ITRC) del 2021 ha infatti messo in evidenza la necessità di avere misure di sicurezza con cui gli utenti abbiano familiarità. Di conseguenza, una loro rapida sostituzione potrebbe creare delle vulnerabilità sfruttabili da attori malevoli nel periodo necessario agli utenti per familiarizzare con l’uso della nuova tecnologia.
Il fattore umano
Ad ogni modo, gran parte del problema delle password è rappresentato dal fattore umano. Spesso, infatti, gli utenti preferiscono la convenienza alla sicurezza, secondo un concetto conosciuto come “attrito della sicurezza”, privilegiando password semplici per più accessi.
Ciò, però, espone non solo gli utenti, ma anche le aziende, a numerosi rischi di attacco che possono minacciare i dati sensibili e le informazioni private. Una possibile soluzione potrebbe essere rappresentata dallo sviluppo di una strategia che si concentra sulla sicurezza unificata e sull’efficienza per la gestione delle identità digitali, come il Single Sign-On (SSO).
Malgrado ciò, le password continuano ad essere il veicolo principale degli attacchi hacker, incluse quelle SSO. Per questo motivo, diventa sempre più importante aumentare le politiche di accesso complesse con l’autenticazione a più fattori (MFA).
Conclusioni
Con l’evoluzione del panorama della sicurezza informatica, incluso l’aumento delle interazioni virtuali, gli aggressori potrebbero trovare un numero sempre più alto di vulnerabilità per ottenere un accesso non autorizzato al sistema.
Le organizzazioni potrebbero ovviare alle problematiche che scaturiscono dall’uso delle password integrando le fasi di protezione nei flussi di lavoro dei dipendenti, perfezionando politiche di accesso con l’MFA e rendendo la sicurezza “invisibile” al dipendente con dei miglioramenti come l’SSO.
Tuttavia, le strategie di cyber security che incorporano MFA e SSO sono i pilastri chiave per rendere questo cambiamento più facile per i dipendenti, pertanto le imprese dovrebbero tenerne conto nel processo di sviluppo e rafforzamento delle policy di sicurezza informatica.
Le chiavi d’accesso hanno a lungo rappresentato un anello debole nei sistemi di protezione e difesa. Pertanto, le imprese dovrebbero cercare di creare un ambiente in cui la gestione delle password sia quanto più semplice possibile e permetta una loro progressiva sostituzione.
