La Passwordless Authentication è una tecnica di autenticazione che permette di validare l’identità di un utente senza la necessità di immettere password o rispondere a domande di sicurezza.
Questo approccio sta guadagnando progressivamente popolarità, perché permette di mitigare i rischi derivanti dall’uso scorretto delle password e dalle conseguenti violazioni ai sistemi aziendali. In ambienti di lavoro ibridi, ovunque accessibili e costellati di servizi cloud, la difesa perimetrale infatti si rivela inefficace e il furto delle credenziali rappresenta la spada di Damocle per qualsiasi organizzazione.
Da qui la necessità di adottare, come suggerisce Gartner, un nuovo modello di “ubiquitous and transparent security”, che mette tra i baluardi in prima linea proprio la Passwordless Authentication. Secondo gli analisti, infatti, la Passwordless Authentication sta registrando tassi significativi di adozione e avrà un forte impatto su prodotti e mercati tecnologici nel breve periodo. Nei prossimi tre anni, secondo le previsioni, il 50% delle transazioni commerciali e il 20% delle autenticazioni dei clienti avverranno in modalità senza password.
Ma, a fronte di una tendenza così marcata, cosa è esattamente la Passwordless Authentication e quali vantaggi offre rispetto alle classiche tecnologie per la gestione degli accessi?
Ne parlano gli esperti di Horizon Security, che suggeriscono l’adozione della Passwordless Authentication all’interno di una strategia di sicurezza di più ampio respiro, volta a proteggere utenti, dispositivi, dati e infrastrutture, con un approccio preventivo e reattivo.
Cyber security, i rischi nei nuovi ambienti IT
Con l’affermarsi della digitalizzazione e sulla spinta della pandemia da Covid-19, le modalità e gli ambienti di lavoro stanno cambiando inesorabilmente. Secondo l’Osservatorio Smart Working del Politecnico di Milano, a partire dall’ultimo trimestre del 2021, quindi nella fase post-emergenziale, i lavoratori agili in Italia superavano nettamente la soglia dei 4 milioni, mentre erano oltre 5 milioni a inizio anno e 570 mila nel 2019.
«I numeri – afferma Simone Pirlo, Senior Manager di Horizon Security – evidenziano che il mondo del lavoro si sta configurando secondo modalità alternative: se durante l’emergenza sanitaria, le restrizioni imponevano il ricorso forzato al remote working, oggi le imprese si avviano verso una nuova normalità ibrida, con lavoratori in presenza e a distanza. Il ritorno al passato non è più possibile, e il workspace moderno deve supportare e garantire accessi sicuri alle risorse aziendali da qualsiasi luogo e dispositivo».
In contesti così aperti e distribuiti, caratterizzati dalla proliferazione dei device mobili e dell’adozione massiccia di soluzioni SaaS (Software-as-a-Service), il perimetro diventa liquido e la sicurezza tradizionale fallisce.
A complicare la situazione, in un ambiente così eterogeneo e dinamico, gli hackers hanno trovato terreno fertile e le password diventano l’anello debole della catena. Secondo il Rapporto Clusit, nel 2021 il numero di attacchi gravi si è attestato a 2049, con una crescita del 32% negli ultimi quattro anni. Tra le tecniche più utilizzate, il phishing, finalizzato all’estorsione di informazioni personali e codici di accesso, rappresenta il 10% del totale.
«Con la definizione del workplace digitale – dichiara Pirlo – le informazioni risiedono praticamente ovunque: nei server locali, sulle diverse nuvole, nei dispositivi personali. La distrazione e l’errore umano possono risultare fatali perché consentono agli attaccanti di rubare le credenziali e guadagnare accesso ai sistemi. Ovviamente, i rischi aumentano quando mancano consapevolezza e formazione sulle tematiche basilari della cyber security».
Come sottolinea il manager, spesso gli utenti aziendali non rispettano le buone pratiche per creare, custodire e manutenere i codici di accesso, che quindi non rispettano i più banali criteri di sicurezza. «Le password – asserisce Pirlo – utilizzano combinazioni di caratteri facilmente intuibili, vengono ripetute identiche su diversi account e servizi, sono condivise con leggerezza e cambiate con poca frequenza».
Tuttavia, non è solo l’ingenuità delle potenziali vittime a rappresentare un problema. «Gli attaccanti – sentenzia il manager – hanno affilato e affinato le armi, sfruttando tecniche sempre più sofisticate per intuire, esfiltrare ed estorcere le password. L’utilizzo di sequenze complesse, l’accortezza nella conservazione e il ricorso ad altre best practice non offrono garanzia di sicurezza, oltre a rappresentare un costo operativo sempre più alto per l’organizzazione».
L’evoluzione dei sistemi di autenticazione e accesso
La soluzione, quindi, è ripensare completamente le tecnologie di autenticazione, adottando metodi alternativi e passwordless. «L’autenticazione – evidenzia Pirlo è cruciale per qualsiasi evento avvenga sulle reti, dalle interazioni sui social media alle transazioni commerciali. Dagli albori di Internet, le esperienze di accesso hanno implicato sostanzialmente l’utilizzo di username e password, ma nel tempo le tecniche di identificazione e autorizzazione si sono evolute».
I dispositivi token, che introducono un secondo fattore di autenticazione generando un codice temporizzato a ogni tentativo di accesso (one-time password) hanno rappresentato un primo passo importante verso metodi di autenticazione moderni. Successivamente, con l’ascesa del mobile computing, gli smartphone sono diventati la tecnologia principe per gestire il riconoscimento delle identità e l’autorizzazione al login.
«I cellulari – spiega il manager – permettono di ottenere i codici OTP in sostituzione dei dispositivi token oppure di ricevere link di accesso esclusivi tramite posta elettronica, notifiche su mobile app e messaggi SMS. Nonostante offrano vantaggi indiscutibili e rappresentino il livello minimo di sicurezza da implementare al giorno d’oggi, tali soluzioni mostrano alcuni limiti importanti perché possono essere aggirate con tecniche di phishing o altra tipologia di attacchi».
Verso la nuova frontiera della Passwordless Authentication
Come è quindi possibile uscire dall’impasse? Nel definire le linee guida per implementare correttamente i sistemi di Passwordless Authentication, Gartner indica le tecnologie di riconoscimento biometrico e le proposte della Fast Identity Online (Fido) Alliance come la nuova frontiera per la sicurezza degli accessi.
Istituita nel 2013, l’associazione riunisce le maggiori aziende tecnologiche a livello globale (tra i membri figurano nomi altisonanti come Amazon, Apple, Google, Intel, Meta, Microsoft, PayPal, Visa e VMware) e promuove lo sviluppo di nuovi standard di autenticazione per sostituire i sistemi tradizionali basati su password.
Insieme al World Wide Web Consortium (W3C), nel 2018, l’Alliance ha lanciato il Fido2 Project con l’obiettivo di costruire un mondo digitale completamente passwordless, dove gli utenti possono autenticarsi ad applicazioni e siti web semplicemente utilizzando il sistema di sblocco (codice PIN, schema grafico, impronta digitale, riconoscimento facciale o altro parametro biometrico) dei loro dispositivi (smartphone, tablet, computer).
Grazie all’intensa attività dei tavoli di lavoro e agli ultimi aggiornamenti rilasciati, il device sbloccato invia al sistema di autenticazione una chiave univoca (passkey), che garantisce l’identità dell’utente e permette l’accesso alla risorsa desiderata.
Le passkey sfruttano lo standard WebAuthn, basato sulla crittografia a chiave pubblica. «Sostanzialmente – chiarisce Pirlo – quando viene effettuata l’iscrizione a un servizio, il sistema operativo crea una coppia di chiavi crittografiche associate univocamente al nuovo account registrato: una chiave (pubblica) viene archiviata sui server, l’altra (privata) è memorizzata sul dispositivo e resta segreta, garantendo massimi livelli di sicurezza».
Passwordless Authentication, perché conviene davvero
Nel futuro progettato da Fido Alliance e W3C, gli accessi – indipendentemente dal dispositivo, dal browser e dal sistema operativo – avverranno senza la necessità di digitare e condividere password in rete, eliminando il rischio di phishing e furto delle credenziali.
«La mancanza di una consapevolezza diffusa sulle minacce informatiche e sulle best practice di sicurezza – sostiene il manager – può mettere a repentaglio l’incolumità dell’intera organizzazione. Le tecnologie di Passwordless Authentication propugnate da Fido2 Project possono mitigare i rischi imputabili all’errore umano e alla sottostima dei pericoli».
Tuttavia, è presto per cantare vittoria. «L’intera compagine dell’offerta – ammonisce Pirlo – deve avere il tempo di adeguarsi allo standard WebAuthn, integrando le relative API all’interno delle applicazioni e dei siti web».
Anche se bisogna avere pazienza, il passaggio alla Passwordless Authentication è un obiettivo irrinunciabile per la sicurezza delle aziende e offre innegabili vantaggi anche sotto il profilo della produttività.
«La Passwordless Authentication – suggerisce il manager – offre una soluzione in merito al bilanciamento tra sicurezza e performance: permette infatti di migliorare la prevenzione contro le minacce a vantaggio della compliance, ma agevola l’operatività degli utenti senza ingessare i processi di autenticazione. Gli utilizzatori possono godere di un’esperienza più fluida, quindi saranno più soddisfatti e avranno una maggiore propensione nell’abbracciare le politiche di security aziendali».
La Passwordless Authentication conviene anche dal punto di vista economico. «La gestione delle password – chiarisce Pirlo – rappresenta una voce di costo importante, in regime ordinario, ma soprattutto in caso di incidente. Le procedure di controllo in seguito a un episodio di furto, violazione o compromissione, richiedono un dispiegamento oneroso delle risorse IT».
Verso una sicurezza moderna ed efficace
In conclusione, la Passwordless Authentication si rivela tra le tecniche più moderne ed efficaci per proteggere le aziende dal rischio di accessi indesiderati. Tuttavia, deve essere vista come un tassello all’interno di un più ampio programma per migliorare la postura di sicurezza aziendale.
«L’obiettivo – chiosa il manager – è definire una strategia olistica, disegnata per i nuovi ambienti IT. Ecco perché Horizon Security propone dal 2012 un ampio portafoglio di servizi e soluzioni per la sicurezza informatica, con un approccio consulenziale che permette di guidare l’azienda verso un piano di difesa personalizzato. Grazie a un team di oltre quarantacinque professionisti specializzati, supportiamo il cliente nel valutare e quantificare i rischi di sicurezza allo stato attuale, suggerendo le tecnologie più efficaci per la risoluzione dei problemi, con evidenza sul rapporto costi – benefici».
Il pacchetto di servizi erogato da Horizon Security include anche programmi di formazione e awareness in ambito sicurezza, rivolti a utenti e manager, che prevedono attività specifiche come workshop, simulazioni, sessioni di e-learning.
«Andando ad agire su entrambi i fronti – conclude Pirlo – ovvero in ambito tecnologico e sulla sfera culturale, siamo quindi in grado di aiutare le aziende a minimizzare i rischi dovuti alla violazione delle identità e degli accessi, con indiscutibili vantaggi anche in termini di compliance».