Autenticazione senza password : sarà il futuro ma ora vi sono ancora molti ostacoli

Il futuro sarà “passwordless” ovvero “senza password” per rendere la vita molto più semplice, sia per gli utenti che per i team di sicurezza. Questa ottica offre l’allettante prospettiva di ridurre i costi amministrativi, migliorare la produttività e ridurre il rischio informatico. Eppure, nonostante questi vantaggi accattivanti, la diffusione sia negli ambienti business-to-consumer (B2C) che business-to-business (B2B) non è stata così forte come ci si sarebbe potuto aspettare.

Tuttavia, quando la più grande azienda di software del mondo decide di sostenere un nuovo approccio tecnologico, è tempo di prenderne atto. Microsoft ha descritto le password come ” scomode, insicure e costose ” molto tempo fa; avanzando rapidamente a marzo di quest’anno, l’azienda ha introdotto l’autenticazione senza password per i clienti aziendali. A settembre, Microsoft ha annunciato che avrebbe esteso il supporto a tutti gli utenti. Si potrebbe dire che l’era dell’autenticazione senza password è finalmente arrivata.

Quando le password non sono più adatte allo scopo
Le password esistono da circa quanto i computer. La loro scomparsa è stata predetta molte volte . Eppure sono ancora qui, a proteggere tutto, dalle applicazioni aziendali ai servizi bancari online, e-mail ed e-commerce.

Il problema è che ora abbiamo troppe di queste credenziali da gestire e ricordare. Una stima suggerisce che il 57% dei lavoratori statunitensi ha scarabocchiato password aziendali su foglietti adesivi. E il numero è in continua crescita man mano che espandiamo la nostra impronta digitale. Una stima dell’ottobre 2020 afferma che la persona media ha circa 100 password, quasi il 25% in più rispetto a prima dell’inizio della pandemia.

Dal punto di vista della sicurezza informatica, la sfida con le password è ben documentata. Forniscono agli aggressori un obiettivo sempre più facile da rubare, indovinare, phishing o forza bruta. Una volta che li hanno in loro possesso, gli attori delle minacce possono mascherarsi da utenti legittimi, scavalcando le difese di sicurezza perimetrale e rimanendo nascosti all’interno delle reti aziendali molto più a lungo di quanto sarebbe altrimenti. Il tempo necessario per identificare e contenere una violazione dei dati oggi è di 287 giorni .

I gestori di password e il single sign-on offrono una qualche forma di riparazione per queste sfide, archiviando e richiamando password complesse per ogni account in modo che gli utenti non debbano farlo. Ma non sono ancora universalmente popolari tra i consumatori. Il risultato? Riutilizziamo credenziali facili da ricordare su più account, esponendo gli account consumer e aziendali al riempimento delle credenziali e ad altre tecniche di forza bruta.

Non si tratta solo di rischi per la sicurezza. Le password richiedono tempo e denaro significativi per la gestione da parte dei team IT e possono aggiungere ulteriore attrito al percorso del cliente. Le violazioni possono richiedere reimpostazioni di massa su grandi volumi di account, il che può interferire con l’esperienza dell’utente negli ambienti B2B e B2C.

In che modo il senza password può essere vantaggioso per la tua azienda
In questo contesto, l’ autenticazione senza password offre un importante passo avanti. Utilizzando un’app di autenticazione con sistemi biometrici come il riconoscimento facciale, una chiave di sicurezza o un codice univoco inviato via e-mail/SMS, le organizzazioni possono eliminare in un colpo solo i problemi di sicurezza e di amministrazione associati alle credenziali statiche.

Adottando questo approccio sia per le operazioni B2B che B2C, le organizzazioni possono:

Migliora l’esperienza dell’utente: rendendo gli accessi più fluidi ed eliminando la necessità per gli utenti di ricordare le proprie password. Ciò potrebbe persino aumentare le vendite se un numero inferiore di carrelli viene abbandonato a causa di problemi di accesso.
Migliora la sicurezza: se non ci sono password da rubare, le organizzazioni possono rimuovere un vettore chiave per comprometterle. Si sostiene che le password siano state la causa dell’84% delle violazioni lo scorso anno. Almeno, farai lavorare i cattivi molto più duramente per ottenere ciò che vogliono. E gli attacchi di riempimento delle credenziali, attualmente tentati a miliardi ogni anno, diventerebbero un ricordo del passato.
Riduci i costi e i danni alla reputazione: riducendo al minimo le opportunità di ransomware e violazioni dei dati finanziariamente dannosi. Ridurrà inoltre i costi di amministrazione IT associati alla reimpostazione della password e all’indagine sugli incidenti. Un rapporto afferma che questo potrebbe costare fino a £ 150 ($ 200) per reimpostazione della password e 30.000 ore di perdita di produttività all’anno. Per non parlare del tempo extra liberato dai team IT da dedicare ad attività di maggior valore.

Tuttavia, senza password non è una panacea. Rimangono diversi ostacoli all’adozione, tra cui:

La sicurezza non è garantita al 100%: gli attacchi di scambio di SIM , ad esempio, possono aiutare gli attori delle minacce a eludere i codici di accesso monouso (OTP) inviati tramite SMS. E se gli hacker possono accedere a dispositivi/macchine, ad esempio tramite spyware , potrebbero anche intercettare le OTP.
La biometria non è un proiettile d’argento: autenticandosi con un attributo fisico che l’utente non può modificare o ripristinare, la posta in gioco diventa molto più alta se gli aggressori trovano un modo per hackerare il sistema. Sono già in fase di sviluppo tecniche di apprendimento automatico per minare la tecnologia di riconoscimento vocale e facciale/immagine.
Costi elevati: le PMI con una vasta base di utenti o clienti potrebbero scoprire che l’implementazione di alcune tecnologie senza password finisce per essere piuttosto costosa, per non parlare dei potenziali costi coinvolti nell’emissione di dispositivi o token sostitutivi, se applicabile. L’utilizzo di un provider affermato come Microsoft ha più senso, anche se sarà associato un costo di sviluppo interno.
Riluttanza degli utenti: c’è un motivo per cui le password hanno resistito alla prova del tempo, nonostante le loro principali carenze di sicurezza: gli utenti sanno istintivamente come usarle. Superare la paura dell’ignoto potrebbe essere affrontato più facilmente in un ambiente aziendale, dove gli utenti non avranno altra scelta che seguire le regole. Ma in un mondo B2C potrebbe creare abbastanza attrito in più da scoraggiare i clienti. Occorre quindi prestare attenzione a rendere il processo di accesso il più fluido e intuitivo possibile.

Con l’inizio dell’era post-pandemia, due tendenze modelleranno il futuro dell’adozione senza password: un’impennata nell’uso dei servizi online dei consumatori e l’emergere del luogo di lavoro ibrido . Con il dispositivo mobile al centro di entrambi, sembrerebbe logico che qualsiasi strategia aziendale senza password inizi da qui.

Fonte : https://www.welivesecurity.com/

L’articolo Autenticazione senza password : sarà il futuro ma ora vi sono ancora molti ostacoli proviene da .