Che l’industria stia cercando da diversi anni di adottare soluzioni alternative alle classiche password non è un mistero: come affermato dallo stesso Data Breach Investigations Report 2019 Verizon, le familiari combinazioni di numeri e caratteri (quando va bene) si sono infatti rivelate nell’80% dei casi l’anello debole dei perimetri di sicurezza, spalancando facilmente le porte ai malintenzionati.
È per questo motivo che nel settore ICT si lavora all’affermazione di standard comuni in grado di pensionare le password ed inaugurare la cosiddetta “passwordless era”, un’era senza password.
Si tratta di un obiettivo davvero raggiungibile nell’immediato futuro? Per Gartner, agenzia di consulting e ricerche di mercato, nel 2022 il 60% delle grandi compagnie ed il 90% delle medie imprese adotterà metodologie d’autenticazione passwordless nel 50% dei casi di utilizzo più comuni – nel 2018 era all’incirca al 5%.
Il post di oggi è dedicato ai trend ed alle più interessanti tecnologie passwordless che potrebbero affermarsi nei prossimi anni garantendo standard di sicurezza più elevati.
Microsoft: Windows Hello, Authenticator, FIDO2
La compagnia si è dichiarata favorevole al pensionamento delle password presentando una serie di strumenti pensati per avviare la migrazione del proprio ecosistema ed user base verso il nuovo paradigma passwordless: Windows Hello consente di utilizzare il proprio volto o la propria impronta digitale (credenziali biometriche) per accedere ad un device o alle risorse cloud; Microsoft Authenticator è un’applicazione per smartphone e tablet che consente di effettuare il login da vari device: dopo aver inserito il nome utente, la sessione potrà essere avviata previa conferma dal proprio device.
A ciò si aggiunge il supporto all’open standard FIDO2, che si articola a sua volta in WebAuthn e CTAP (Client to Authenticator Protocol): il primo è, in sintesi, un’API per i browser che sostituisce le password con la crittografia a chiave pubblica, offrendo inoltre supporto agli autenticatori (Windows Hello o remoti come un cellulare o una chiave FIDO2); il secondo è il mezzo mediante il quale gli autenticatori sono in grado di comunicare con i browser.
Mountain View ha ugualmente sposato il protocollo FIDO2 rendendolo compatibile con due delle più celebri proprietà intellettuali del proprio portfolio, Chrome e il sistema operativo Android. Sul breve termine, l’intenzione è quella di implementare il WebAuthn nella classica procedura di login Google, alla quale si appoggiano innumerevoli servizi/app di terze parti. Il tutto si affiancherà all’autenticazione a due fattori (2FA) la cui diffusione è tutt’ora prioritaria, in quanto primo grande passo verso la già menzionata rivoluzione passwordless.
HYPR
Per George Avetisov, CEO della compagnia HYPR, le classiche password devono essere rimpiazzate da una chiave privata, custodita in uno smartphone/tablet o in altri device, autenticabile via riconoscimento facciale o impronta digitale.
HYPR punterà inoltre a fornire un ampio ventaglio di modalità d’autenticazione aggiuntive, in modo da non “forzare” l’utente – George cita una ricerca di mercato secondo cui i potenziali clienti australiani reputano inaccettabile la scansione della retina mentre per europei e statunitensi ciò non rappresenta un problema.
SecureAuth
Le impronte digitali sono una delle modalità d’autenticazione prescelte anche da SecureAuth, altra azienda di settore che mira ad accelerare l’adozione di soluzioni passwordless tra le imprese.
Il principale problema delle aziende, afferma il CEO Stephen Cox, è che non riescono a concepire un altro modello organizzativo senza password perché la quasi totalità delle “vecchie” applicazioni da loro utilizzate si basa proprio su queste ultime. SecureAuth renderà compatibili le moderne modalità d’autenticazione (riconoscimento facciale etc.) con le vecchie applicazioni, eliminando di fatto l’utilizzo delle password.
Yubico
Il CEO Jerrod Chong dell’azienda reputa indubbiamente efficace il protocollo FIDO2 applicato all’autenticazione via web ma per facilitare la vita degli utenti occorre fare un passo in più.
Yubikey è una chiavetta d’autenticazione portatile pensata per gestire situazioni come l’autenticazione da un nuovo device, il login sul proprio device per il reset della password, l’accesso ad app personali ma da un altro device.
L’utilizzo di molteplici dispositivi è una pratica comune (senza considerare quelli smarriti e rubati) e Yubikey consente di lavorare in sicurezza su ognuno di essi, afferma Chong.
Ping Identity
I dispositivi mobili sono ancora una volta l’elemento alla base soluzione ideata da Ping Identity. Gli smartphone sono ormai utilizzati per svolgere svariate attività lavorative, affiancandosi o addirittura sostituendosi ai PC fissi ed ai laptop: grazie ad opportune notiche in tempo reale (push) e codici QR scansionabili (equivalenti ad una password mono uso), l’azienda è sicura di fornire una soluzione in grado di adattarsi alle esigenze di ogni azienda, facilitando il flusso di lavoro (workflow) degli utenti.
Fonte: 1.