La Guida dell'acquirente all'autenticazione senza password

Probabilmente è passato molto tempo da quando hai valutato le tue soluzioni di autenticazione utente.

Dopotutto, non capita tutti i giorni che le aziende siano alla ricerca di una nuova soluzione di autenticazione utente. Alcuni non hanno mai usato nient'altro che una semplice password per autenticare i propri utenti. Altri potrebbero aver implementato una tradizionale soluzione di autenticazione a più fattori per affrontare problemi di sicurezza specifici relativi all'autenticazione delle connessioni di accesso remoto o in risposta a un requisito normativo per un'autenticazione più forte. Questa breve guida fornisce una revisione attuale dei moderni approcci di autenticazione degli utenti.

Il Data Breach Investigation Report (DBIR) di Verizon pubblicato nel 2017 è stato in qualche modo uno spartiacque per le percezioni sull'autenticazione degli utenti. Il rapporto ha fatto notizia in tutto il mondo IT quando ha rivelato che l'81% delle violazioni dei dati era il risultato di password compromesse.

Questo è stato il momento in cui molte aziende si sono rese conto che le password non stavano risolvendo i loro problemi di sicurezza e invece ne stavano causando molti, e quando hanno iniziato a esaminare opzioni di autenticazione alternative. Questo è il momento in cui l'autenticazione senza password è passata dall'essere un'alternativa di nicchia perseguita da aziende lungimiranti a qualcosa di cui tutti parlavano.

Che cos'è l'autenticazione senza password?

L'autenticazione senza password definisce una classe di soluzioni di autenticazione che verificano l'identità di un utente senza l'uso di una password. La prova dell'identità si basa su altri fattori che identificano in modo univoco l'utente, come il possesso di qualcosa associato in modo univoco all'utente (ad es. un generatore di password monouso, un dispositivo mobile registrato o un token hardware) o la firma biometrica dell'utente (ad es. impronta digitale, impronta facciale, scansione della retina, ecc.). È anche possibile eseguire l'autenticazione in base a qualcosa che l'utente conosce (cioè l'autenticazione basata sulla conoscenza), a condizione che quel qualcosa non sia una password.

4 tipi di metodi di autenticazione senza password

Ecco alcuni metodi di autenticazione senza password di uso comune tra cui le persone spesso scelgono:

Codici monouso

Codice monouso inviato a un dispositivo mobile registrato o a un indirizzo e-mail. Questo è in genere implementato dalle aziende per autenticare i propri clienti (B2C). È usato meno comunemente per l'autenticazione aziendale, ovvero per l'autenticazione dei dipendenti.

Biometrica

Questo metodo di autenticazione senza password è diventato la norma per l'autenticazione degli utenti sui propri dispositivi mobili, con le popolari implementazioni della tecnologia in Apple Face ID e l'autenticazione tramite impronta digitale onnipresente anche sui dispositivi mobili più economici. La biometria viene utilizzata principalmente per autenticare l'utente sul dispositivo stesso e meno spesso sulle risorse a cui si accede dal dispositivo.

Token di sicurezza hardware dedicati

Token di sicurezza hardware dedicati, che in genere memorizzano una credenziale PKI (Public Key Infrastructure). Negli ultimi anni, i dispositivi conformi a FIDO come YubiKeys stanno diventando sempre più popolari come un'alternativa di autenticazione utente ad alta sicurezza alle password. Questi dispositivi offrono un buon livello di sicurezza, in quanto sono difficili da falsificare e richiedono il possesso fisico, ma sono anche piuttosto costosi e ingombranti per gli utenti da portare in giro e da utilizzare.

Credenziali di autenticazione collegate a un dispositivo host

Questa credenziale (ovvero un certificato di autenticazione client PKI aggiunto a un personal computer) viene utilizzata principalmente per autenticare le workstation dei dipendenti su reti e risorse aziendali. Anche in questo caso, le soluzioni conformi a FIDO stanno guadagnando popolarità, con l'esempio più notevole di Microsoft Windows Hello for Business. Windows Hello è disponibile nelle versioni più recenti di Windows e combina una credenziale conforme a FIDO con un PIN utente o una stampa biometrica per sbloccare l'accesso alla credenziale.

Autenticazione a più fattori (MFA) e autenticazione senza password

La combinazione di più forme di autenticazione per la verifica dell'identità determina l'autenticazione a più fattori (MFA). Storicamente, l'autenticazione a più fattori è stata utilizzata come un modo per migliorare la sicurezza dell'autenticazione basata su password. L'uso di una password (qualcosa che conosci) insieme a un portachiavi dedicato o un dispositivo mobile registrato (qualcosa che hai) fornirebbe molteplici fattori di autenticazione che sono più difficili da phishing, cracking o hackeraggio, e quindi fornirebbe un livello di sicurezza più elevato.

Oggi è possibile utilizzare più fattori di autenticazione senza password come uno dei fattori, con conseguente MFA senza password. I fattori di autenticazione più comunemente utilizzati per l'autenticazione a più fattori senza password sono il dispositivo mobile registrato dell'utente insieme a un PIN utente o un'impronta digitale forniti tramite il sensore di impronte digitali integrato nel dispositivo.

Considerazioni sulla valutazione di una soluzione di autenticazione senza password

Quindi cosa dovrebbe guardare un'azienda quando cerca la giusta soluzione di autenticazione? Ci sono molte considerazioni quando si acquista una nuova soluzione di autenticazione utente, ma le tre più importanti sono:

La soluzione di autenticazione supporta l'intera gamma dei casi d'uso dell'autenticazione degli utenti?

La considerazione più fondamentale è se una soluzione di autenticazione supporta i casi d'uso di autenticazione a ampiezza completa incontrati dagli utenti nel corso della loro giornata lavorativa. Quando casi d'uso specifici non sono supportati, è disponibile una delle due opzioni: lasciare in atto la soluzione di autenticazione esistente, in genere semplice nome utente e password, o inserire una seconda soluzione di autenticazione.

Il ripristino di nomi utente e password vanifica lo scopo di investire in una soluzione di autenticazione migliore e più sicura perché significa che le password vulnerabili possono ancora essere sfruttate dagli aggressori, lasciando l'azienda esposta. È paragonato a costruire un muro fortificato intorno alla tua casa e lasciare sul posto un'entrata sul retro con un lucchetto.

Acquisire una seconda soluzione di autenticazione in grado di gestire i casi d'uso non supportati significa distribuire un'altra soluzione e, soprattutto, richiedere agli utenti di portare con sé un'altra credenziale/autenticatore. Questa è una proposta costosa che offre anche un'esperienza che probabilmente frustrerà gli utenti.

Il supporto dell'intera gamma di casi d'uso dell'autenticazione degli utenti può portare a diversi scenari per un'azienda tipica. I casi d'uso aziendali comuni includono:

• Anche l'accesso alla workstation, inclusi gli host Windows e Mac, e in alcune aziende Linux è una considerazione importante. Questo è spesso il caso d'uso più impegnativo per molte soluzioni di autenticazione poiché richiede integrazioni delicate con i sistemi operativi e le soluzioni di gestione dei domini di rete.
• L'accesso remoto VPN è stata una tecnologia di base che consente ai dipendenti mobili e remoti di rimanere in contatto con il proprio lavoro. Esistono diverse tecnologie in uso e una pletora di fornitori che offrono soluzioni. Fortunatamente, nel corso degli anni, è emersa una serie di standard per consentire una semplice integrazione con i sistemi di autenticazione.
• L'accesso alle app cloud è diventato mainstream anche per le aziende più tradizionali. Sebbene siano in atto alcuni standard per facilitare l'interoperabilità tra i sistemi di autenticazione aziendale e i servizi cloud, non sono tutti completamente preparati. Standard concorrenti e frequenti revisioni degli standard esistenti significano che il supporto dell'accesso ai servizi cloud è stato un obiettivo in movimento.
• L'autenticazione offline è stata il tallone d'Achille per molti sistemi di autenticazione in generale e per l'autenticazione a più fattori (MFA) in particolare. Rappresenta una sfida difficile perché la maggior parte delle soluzioni di autenticazione sono state progettate per un mondo connesso. Pertanto, quando la connessione di rete è inattiva o non disponibile e il server di autenticazione non è accessibile, sono necessarie soluzioni alternative elaborate per garantire che gli utenti possano continuare ad autenticarsi sul proprio computer e sulle risorse ospitate localmente.
• L'autenticatore perso crea un enorme mal di testa, soprattutto quando si tratta di un autenticatore hardware. Spedire fisicamente un token sostitutivo a un dipendente remoto è costoso e richiede tempo. Pertanto, per evitare tempi di inattività prolungati, sono state sviluppate soluzioni di ripristino basate su software per alcune delle soluzioni MFA basate su hardware.

In generale, una moderna soluzione di autenticazione aziendale deve essere un giocatore completo in grado di gestire un'ampia varietà di casi d'uso di autenticazione. La scelta di una soluzione mirata che affronti bene casi d'uso specifici comporterà probabilmente la necessità di implementare più soluzioni di autenticazione, il che è costoso e difficile per gli utenti.

La soluzione di autenticazione funzionerà con ciò che hai già in atto?

La realtà per la maggior parte delle aziende è che hanno acquisito una variegata combinazione di sistemi e applicazioni in anni di investimenti nell'IT. Questi sistemi sono una realtà che deve essere riconosciuta e qualsiasi nuova soluzione di autenticazione deve essere in grado di funzionare con tutto ciò che è già in atto. Un approccio "rip-and-replace" è semplicemente troppo doloroso e costoso.

Ci si dovrebbe quindi aspettare che le moderne soluzioni di autenticazione siano progettate per supportare sistemi e applicazioni legacy e integrarsi facilmente con gli investimenti IT esistenti. Il supporto delle directory utente esistenti (ad es. Active Directory), l'utilizzo di sistemi legacy, l'utilizzo insieme a soluzioni di autenticazione esistenti, ecc. dovrebbero essere tutti incorporati nella soluzione e non qualcosa che richieda costosi progetti di personalizzazione e integrazione.

Dovrebbe anche essere necessario lavorare con soluzioni di autenticazione esistenti come token USB, token OTP, autenticatori FIDO, autenticatori mobili e altro ancora. Molte aziende hanno investito in soluzioni di autenticazione avanzata, il che significa che non ci sono quasi opportunità greenfield dove nient'altro viene implementato. Pertanto, lavorare in armonia con le soluzioni di autenticazione esistenti, semplificare le operazioni di un ambiente di autenticazione eterogeneo e fornire un mezzo per ritirare gradualmente le soluzioni meno recenti e migrare a quelle più moderne è diventata di per sé una considerazione importante.

La soluzione soddisfa i requisiti di revisori dei conti e autorità di regolamentazione?

La maggior parte delle aziende oggigiorno opera in settori regolamentati e sono soggette a severi requisiti in materia di protezione dei dati e autenticazione degli utenti. La conformità alle normative e agli standard di settore come PCI DSS, DFARS, HIPAA, SOX/GLBA, PSD2, GDPR, ecc. è quindi una considerazione importante e spesso il driver principale per investire in una nuova soluzione di autenticazione utente.

Vantaggi dell'autenticazione senza password

L'autenticazione senza password è uno di quei rari casi nella vita in cui la nuova soluzione è nettamente superiore, sotto ogni aspetto. La scelta non richiede compromessi o soppesare pro e contro. L'autenticazione senza password offre una maggiore sicurezza, una migliore esperienza utente ed è più economica da possedere e utilizzare rispetto alle soluzioni di autenticazione basate su password.

Migliora l'esperienza dell'utente

L'autenticazione senza password offre una migliore esperienza utente perché gli utenti non devono richiamare e digitare le password. Ciò significa accessi più rapidi e meno tentativi falliti. E le password non vengono mai dimenticate o devono essere reimpostate, il che significa meno tempi di inattività dovuti a password perse o dimenticate e meno aggravamento.

Migliora la sicurezza generale

La sostituzione delle password vulnerabili con una soluzione di autenticazione senza password ben progettata migliora effettivamente la sicurezza perché la funzione senza password è resistente al phishing e offre una migliore protezione contro altre forme di attacchi di accesso alle credenziali, tra cui man-in-the-middle, keylogging, credential stuffing, password spraying e altri .

È più economico a lungo termine

L'autenticazione senza password è più economica da possedere e da utilizzare rispetto alle password. Le password richiedono una gestione costosa perché richiedono il supporto di sistemi di gestione delle password per consentire agli utenti di eseguire aggiornamenti periodici delle password e occasionali reimpostazioni delle password.

Le password creano anche un carico significativo sull'helpdesk quando gli utenti dimenticano le loro password o perdono l'autenticatore e chiamano l'helpdesk per assistenza nel ripristino. Ulteriori risparmi sui costi possono essere realizzati chiudendo i programmi di prevenzione del phishing messi in atto per istruire gli utenti e proteggerli dal phishing. L'autenticazione senza password ben progettata è a prova di phishing.

Sfide con l'autenticazione senza password

La sfida numero uno per le aziende che decidono di implementare l'autenticazione senza password sono solitamente i loro sistemi e applicazioni legacy che non sono stati progettati per l'autenticazione senza password. Quindi, sebbene sia facile accettare la visione di un ambiente di lavoro senza password, arrivarci può essere scoraggiante quando si ha a che fare con un ambiente IT eterogeneo che combina sistemi nuovi e datati.

Un approccio consiste nel distribuire l'autenticazione senza password solo per i sistemi e le app che la supportano. Ciò si traduce generalmente nella distribuzione dell'autenticazione senza password per le app cloud e talvolta anche sui sistemi operativi più recenti (ovvero le ultime versioni di Windows 10). Ma andare senza password è davvero uno sforzo tutto o niente: o ti sbarazzi delle password o non lo fai.

Quindi, per implementare correttamente l'autenticazione senza password per gli utenti, di solito non è sufficiente decidere che senza password è un'opzione migliore, più economica e più sicura. È importante scegliere la tecnologia che ti aiuterà a distribuire senza password in un ambiente IT esistente ed eterogeneo e affrontare tutti i casi d'uso dell'autenticazione.

Panorama della soluzione di autenticazione senza password

Quasi tutti i fornitori di soluzioni di autenticazione sul mercato affermano di offrire l'autenticazione senza password. I fornitori di autenticazione in carica hanno adattato la loro offerta MFA per consentire alcune forme di autenticazione senza password per alcuni casi d'uso. I nuovi giocatori di autenticazione stanno puntando tutto sul senza password, mirando ai clienti con infrastruttura e applicazioni moderne che funzioneranno bene con senza password: i sistemi e le app legacy vengono lasciati indietro.

Ma la distribuzione universale dell'autenticazione senza password non è ancora possibile per la maggior parte delle aziende, perché ci sono ancora molti sistemi e app che non sono progettati per funzionare senza password. Lasciare le password sul posto per alcuni sistemi vanifica quasi lo scopo perché per trarre vantaggio dall'assenza di password devi davvero sbarazzarti di tutte le password.

Il successo della migrazione a una soluzione di autenticazione senza password richiede una soluzione in grado di funzionare su tutti i sistemi e le applicazioni, offrendo l'autenticazione senza password ove possibile e creando un'esperienza senza password laddove non è possibile. Il vantaggio di questo approccio è che dal punto di vista dell'esperienza utente, gli utenti non devono creare, richiamare o inserire una password.

Dal punto di vista della sicurezza, le password vengono rimosse completamente o semplicemente non note agli utenti, il che le rende a prova di phishing. Inoltre, quando si implementa un'esperienza senza password, le password vengono gestite dalle macchine, il che significa che beneficiano di un'elevata complessità e di rotazioni frequenti, che a loro volta le rendono più resistenti a molte forme di attacchi alle password.