Parlando di sistemi di autenticazione ci si domanda se le password, oggi, hanno ancora motivo di esistere. Potremmo rispondere “no” o al limite “sì”, ma non nel modo con cui sono oggi utilizzate.
Di recente abbiamo avuto il World Password Day, la Giornata mondiale della password, che ricorre ogni primo giovedì del mese di maggio.
Che senso ha questa ricorrenza? Ha senso “celebrarla” per un solo e unico motivo: ricordare a tutti come si crea una password sicura e come si gestisce in sicurezza. Effettivamente ne avevamo bisogno visto che ogni anno aumenta il numero di data breach, violazioni massive di dati, compromissioni e trafugamenti di password che generano furti di identità e accessi abusivi.
Indice degli argomenti
Sistemi di autenticazione: qualcosa sta cambiando
Per brevità abbiamo sintetizzato l’elenco di tutti i guai che si scatenano per colpa delle nostre amate password.
Ma forse qualcosa sta cambiando, considerando che il mondo della sicurezza informatica e quindi tanti esperti, si stanno domandando come poter fare a meno delle password e possibilmente vivere meglio. Già da tempo, nuove forme di autenticazione si stanno facendo largo, sia in ambito personale sia nei contesti aziendali, sviluppando un’idea sempre più chiara di quanto siano limitate le password, quanto sia oneroso amministrarle e gestire la sicurezza delle tecnologie basate su esse.
I criminal hacker ci arrivano prima degli altri e a loro piace vincere facile, per cui hanno ridotto gli sforzi nello sviluppare tecniche di aggressione sempre più sofisticate e stanno puntando sempre di più ad azioni malevole, come ad esempio il phishing, che si basano sullo sfruttamento dei limiti del comportamento umano.
Il problema è molto serio tanto quanto sottovalutato. Sembra incredibile, ma anche tanti tra gli addetti ai lavori, sembrano affetti da questa scarsa sensibilità circa le password. Si resta increduli nel leggere che il 51% di oltre 1.700 professionisti IT, ha riutilizzato una media di cinque password complessive in tutti gli account aziendali e personali e quasi il 70% ha ammesso di condividere le proprie password con i colleghi.
Questo emerge nel rapporto “The 2019 State of Password and Authentication Security Behaviors Report” redatto dal Ponemon Institute, che ha raccolto i dati negli Stati Uniti, nel Regno Unito, in Germania e Francia (meno male non in Italia). Ebbene, proprio questi intervistati, che dovrebbero essere più informati e consapevoli dei rischi derivanti dall’utilizzo di password scadenti e da una gestione non adeguata della riservatezza, hanno evidenziato il problema nella sua gravità.
Dallo stesso campione di intervistati apprendiamo che la gestione delle password viene da loro considerata scomoda e ingombrante e il 57% di essi preferirebbe proteggere la propria identità con accessi senza password. Il 56% degli intervistati ritiene che un token hardware offra una migliore sicurezza.
Secondo Microsoft, in media, ogni mese un account aziendale su 250 viene compromesso, i rischi che si corrono e i costi di gestione informatica, aumentano e crescono in proporzione al maggior numero di utenti e applicazioni che si usano in azienda, quindi basarsi solo sulle password potrebbe non essere una buona strategia di difesa aziendale.
Relativamente ai costi di gestione informatica, va tenuto conto che le aziende dedicano tra il 30% e il 60% del tempo del supporto tecnico per reimpostare le password.
L’insufficiente sicurezza di un’autenticazione basata sulle password emerge con chiarezza anche nel versione finale del documento di Microsoft relativo alle impostazioni di base della configurazione della sicurezza per Windows 10 versione 1903 (aka “19H1”) e Windows Server versione 1903.
Addirittura, in questo documento si mette in discussione il principio base di prevedere la scadenza frequente delle password. Dello stesso avviso è anche il NIST – National Institute of Standards and Technology, che nelle nuove linee guida ha stabilito che per garantire la sicurezza delle password non serve più cambiarle periodicamente.
Le persone quando scelgono le proprie password, troppo spesso sono facili da indovinare o prevedere e quando vengono costrette a creare password difficili da ricordare, troppo spesso le scriveranno dove gli altri possono trovarle. Così come quando sono costretti a cambiare le loro password troppo spesso, faranno una piccola e prevedibile modifica alle loro password esistenti e con buona probabilità le dimenticheranno.
Quindi la scadenza della password, che è il criterio di sicurezza più “antico” applicabile tramite i modelli di sicurezza di Windows, non è più una strategia di sicurezza completa per la gestione delle credenziali dell’utente.
La scadenza periodica della password è una difesa solo contro la probabilità che una password (o hash) venga rubata durante il suo intervallo di validità e venga utilizzata da un’entità non autorizzata. Se una password non viene mai rubata, per Microsoft, non è necessario farla scadere. E se si ha il dubbio che una password sia stata trafugata, si deve ovviamente agire immediatamente e non attendere la scadenza per risolvere il problema.
L’adozione del principio di non far scadere la password con frequenza, va abbinato ad altre forme di mitigazione del rischio come l’implementazione di liste di password vietate, l’autenticazione a più fattori, il rilevamento di attacchi di password guessing e l’individuazione di anomali tentativi di accesso.
Limiti di diffusione dell’autenticazione a due fattori
Nonostante si parli da anni di MFA (Multi Factor Authentication), il miglioramento della sicurezza ottenuto con l’aggiunta alla password di un secondo fattore di autenticazione resta ancora oggi troppo poco diffuso per le persone e per le aziende.
Infatti, Microsoft ha reso noto che il 99% degli account compromessi a gennaio di quest’anno, non utilizzava l’autenticazione a più fattori.
Eppure MFA o il suo sottoinsieme 2FA (autenticazione a due fattori) è da sempre utilizzato in alcuni ambiti personali di autenticazione, basti considerare che chiunque abbia mai utilizzato un servizio Bancomat, ha di fatto utilizzato una tecnologia MFA, basata sul possesso della carta di debito e il PIN.
Trattasi di MFA anche quando si effettua l’accesso con delle credenziali standard (nome utente e password) a un sito web, con l’ulteriore passaggio di ricevere un codice numerico sul cellulare, da digitare nel sito web per confermare l’accesso col proprio account. Oggi, purtroppo solo da pochi mesi, qualsiasi servizio bancario online, costringe all’utilizzo di 2FA.
Ogni individuo dovrebbe utilizzare MFA quando possibile, principalmente quando si tratta di dati sensibili o critici, ma questa opportunità, spesso, non è ben pubblicizzata da chi eroga un servizio informatico e quando lo è, viene offerta come opzione aggiuntiva che è possibile abilitare, ma è necessario prendere l’iniziativa per attivarla.
MFA è quindi una soluzione, certamente valida ed efficace, ma indubbiamente sembra trovare una certa resistenza nel diffondersi:
- in ambito privato per la difficoltà della massa di utenti a comprendere questi aspetti tecnologici;
- in ambito aziendale per i costi da sostenere per la revisione delle politiche di autenticazione.
No password, no secondo fattore di autenticazione
Gli utenti sarebbero anche pronti per un doppio salto in avanti (no password, no secondo fattore di autenticazione). Questo emerge da una recente indagine condotta da VISA, in cui due terzi delle persone intervistate hanno utilizzato opzioni di biometria e le considerano più facili e veloci da utilizzare rispetto alle password tradizionali. Secondo loro vi sono questi tre principali vantaggi:
- non è più necessario ricordare le password (42%);
- miglioramento della sicurezza tramite password (34%);
- non dimenticare o perdere un metodo di autenticazione (33%).
Il 68% del campione degli intervistati (acquirenti statunitensi) ha, inoltre, dichiarato di aver abbandonato un acquisto online perché aveva dimenticato una password, oppure aveva problemi di accesso o problemi a ottenere una OTP (One-Time-Password).
In linea generale, quindi, possiamo affermare che gli utenti vogliono qualcosa di più semplice e conveniente; gli amministratori IT vogliono qualcosa di più sicuro; le aziende desiderano raggiungere l’obiettivo della sicurezza, se possibile con il minor investimento possibile.
Si deduce, da questo insieme di elementi, che siamo prossimi ad una vita senza password.
Sistemi di autenticazione password-less: a che punto siamo
Intanto proviamo a definire cosa significa, in termini generali, password-less. Letteralmente una autenticazione senza password, una forma di autenticazione multi fattore che sostituisce la password con un’alternativa sicura.
Questo tipo di autenticazione richiede due o più fattori di verifica per gli accessi che sono protetti con una crittografia a coppia di chiavi (chiave pubblica e chiave privata), create da un dispositivo al momento della registrazione. La chiave privata può essere sbloccata solo con un dato biometrico o con un PIN. Gli utenti hanno l’opzione per accedere direttamente tramite riconoscimento biometrico come scansione delle impronte digitali, riconoscimento facciale o scansione dell’iride o con un PIN, come configurati per bloccare e proteggere il dispositivo.
Nello schema seguente possiamo facilmente osservare che l’autenticazione password-less si colloca nel quadrante più favorevole, rispetto alla semplice password o all’utilizzo combinato di password e di un secondo fattore di autenticazione.
Per orientarci in questo “nuovo” mondo, procediamo esaminando la visuale di Microsoft per quanto affermato da Joy Chik, Corporate Vice President Microsoft for Identity Division.
Per dimostrare l’attendibilità del proprio modo di fare a meno delle password, Microsoft ha deciso di essere il primo cliente delle proprie soluzioni password-less, per cui il suo team IT ha già adottato la metodologia di accessi senza password e ora il 90% dei dipendenti accede proprio facendone a meno, con il buon risultato aggiuntivo di ridurre dell’87% i costi sostenuti per il supporto di gestione delle password stesse.
Nel mondo Microsoft, quindi, sembra essere già tutto pronto per consentire l’autenticazione in modo sicuro con Windows Hello, con identificazione biometrica.
Microsoft ha integrato il supporto per l’autenticazione senza password in diversi prodotti e servizi, tra cui Office, Azure, Xbox e Github. Non serve nemmeno più creare un nome utente, sostituito dal proprio numero di telefono.
Anche in ambito cloud, gli amministratori possono usare il Single Sign-On in Azure Active Directory (Azure AD) per abilitare l’autenticazione senza password per un numero illimitato di app, tramite la funzionalità nativa in Windows Hello, con le funzionalità di telefono come token nell’app Microsoft Authenticator o le chiavi di sicurezza create utilizzando gli standard aperti FIDO2.
Fattori da considerare per intraprendere la strada password-less
Almeno per Microsoft appare tutto chiaro, ma immaginare di adottare nuove forme di autenticazione, implica necessariamente la definizione di una strategia di sostituzione della password. Come in ogni progettazione bisogna trovare la risposta a diverse domande e, prima ancora ovviamente, avere le idee chiare sulle domande stesse.
Particolari riflessioni dovranno essere fatte sui meccanismi di fallback, a titolo di esempio: se vogliamo utilizzare un’app di autenticazione mobile, cosa prevediamo se il dispositivo viene smarrito o rubato?
Altro elemento da considerare è come introdurre tali tecnologie in modo progressivo e consapevole. Serve certamente un PoC (Proof-of-concept) in modo da poter testare la tecnologia prima di adottarla, occorre realizzare un progetto pilota coinvolgendo solo un certo numero di utenti e va prevista un’adeguata formazione rivolta agli utenti, per evitare che si chiuda una porta di sicurezza e se ne aprano altre.
A questi aspetti va aggiunto, non ultimo per impatto, il fattore di compatibilità dovuto agli ambienti legacy ancora in uso aziendale.
In sintesi, gli aspetti da considerare sono:
- scegliere la tecnologia più appropriata anche in riferimento alle tecnologie presenti in azienda;
- conoscere bene i dettagli di funzionamento della soluzione mettendola alla prova;
- incoraggiare il cambiamento culturale all’interno dell’organizzazione coinvolgendo anche i livelli più bassi (del resto, dovranno utilizzarla tutti).
Se la scelta di utilizzo della tecnologia password-less dovesse riguardare Microsoft, un primissimo esercizio progettuale può essere svolto comparando le tecnologie proposte, osservando i fattori corretti per la scelta più appropriata consultando la scheda seguente.