Sommario:
- Cosa impedisce l'autenticazione senza password?
- I federali vengono a bussare
- Accedere alla stessa pagina
- Quando passeranno finalmente le password?
Video: HO AGGIUSTATO UN PC DI 10 ANNI FA! (Novembre 2024)
Nel 2012, Matt Honan di Wired ha scritto delle conseguenze disastrose legate al legare tutta la tua vita digitale a una serie di lettere, cifre e simboli. Honan è solo una delle innumerevoli persone i cui account online sono stati dirottati dopo che gli hacker hanno scoperto le loro password; l'elenco delle vittime contiene anche dirigenti di alto profilo tecnico, tra cui Mark Zuckerberg.
Eppure, le password rimangono il metodo principale di protezione degli account online.
Non c'è stata una piccola quantità di innovazione nello spazio di autenticazione. Nel 2016 ho scritto di tecnologie di autenticazione che offrivano alternative sicure e facili da usare alle password, ma fino a poco tempo fa nessuno aveva raggiunto l'adozione di massa.
Ora, tuttavia, c'è la speranza che possiamo finalmente abbandonare password lunghe e complesse grazie a una serie di regolamenti e standard aperti che facilitano e incoraggiano l'implementazione di metodi di autenticazione senza password nelle applicazioni online.
Cosa impedisce l'autenticazione senza password?
"Il vasto numero di password necessarie nella nostra vita quotidiana è diventato un peso, motivo per cui vediamo così tante credenziali statiche riutilizzate o deboli", afferma Stina Ehrensvard, CEO e fondatrice di Yubico, che produce chiavi di sicurezza fisiche come Yubikey 5 NFC. "Avevamo bisogno di pensare a come affrontare questo problema in un modo che semplifichi il processo di accesso aggiungendo il massimo livello di sicurezza. Fino ad ora, non c'è stato davvero un modo per fare entrambe queste cose con successo."
Le vulnerabilità delle password non vanno perse nelle organizzazioni che continuano a usarle. Ma prima di considerare le alternative, devono tenere conto della sicurezza, dell'usabilità, della disponibilità e dei costi della tecnologia.
"Il motivo per cui non abbiamo mai sostituito le password con qualcosa di più affidabile è che tutte le alternative che potrebbero essere state migliori per la sicurezza o l'usabilità non sono state disponibili onnipresentemente per tutte le forme e dimensioni dei dispositivi connessi a Internet, né sono state costate efficace ", afferma Brett McDowell, direttore esecutivo di FIDO Alliance, un consorzio che sviluppa standard di autenticazione.
Inoltre, l'immissione della password è la tecnologia di autenticazione meno costosa e più semplice da implementare in nuovi siti Web e app mobili. E mentre alternative come la tecnologia di autenticazione biometrica sono diventate più ampiamente disponibili sui dispositivi mobili, l'immissione della password rimane la caratteristica onnipresente supportata da tutti i dispositivi. La sua rimozione impedirebbe a molti utenti di accedere a tali servizi.
La mancanza di standard rende anche difficile allontanarsi dalle password. Il costo aggiuntivo dell'aggiunta del supporto per dozzine di diverse tecnologie di autenticazione nelle applicazioni client e nei server back-end è qualcosa che la maggior parte delle organizzazioni non potrebbe sopportare.
E, naturalmente, c'è sempre il fattore umano. "Alcune aziende e individui continuano a credere che non saranno interessati dagli attacchi informatici e che non sono di interesse per i criminali informatici. La mancanza di desiderio e risorse per cambiare le soluzioni esistenti sta ostacolando l'adozione di nuove soluzioni di autenticazione senza password", afferma Alex Momot, CEO di REMME, una startup che sviluppa un sistema di autenticazione decentralizzata.
I federali vengono a bussare
Negli ultimi anni, c'è stato un aumento della consapevolezza riguardo alla sicurezza online e alla privacy degli utenti, in particolare tra agenzie governative e autorità di regolamentazione. Mentre in precedenza, le organizzazioni avrebbero potuto scrollarsi di dosso violazioni dei dati e incidenti di sicurezza con poche conseguenze legali e finanziarie, non è più così.
"I regolatori sono stanchi dei titoli sulla violazione dei dati come chiunque altro e stanno iniziando a intervenire, con il risultato che più aziende aggiungono una forte autenticazione alle loro pratiche di protezione dei dati", afferma McDowell.
Tra le azioni normative più rilevanti vi è il Regolamento generale sulla protezione dei dati (GDPR), un insieme di regole che definiscono il modo in cui le aziende raccolgono, gestiscono e proteggono i dati degli utenti. Il GDPR definisce anche gli standard per l'autenticazione forte dell'utente. Le società che non rispettano le regole e proteggono i dati dei propri clienti saranno punite severamente. Il GDPR si applica solo alla giurisdizione dell'UE, ma poiché molte aziende che non hanno sede nell'UE fanno ancora affari nella regione, ora è considerato uno standard d'oro per la sicurezza.
"In un momento in cui sempre più aziende stanno adottando un'autenticazione forte e sempre più violazioni dei dati sono causate dalla compromissione della password, sarà sempre più difficile per un'azienda far valere a un regolatore GDPR che l'autenticazione solo password è sicurezza adeguata, esponendo potenzialmente la loro azienda a multe che sono molto più costose del prezzo del passaggio dalle password alla vera autenticazione forte ", afferma McDowell.
Altre normative specifiche del settore sono più esplicite sull'uso della tecnologia di autenticazione. Un esempio è la direttiva sui servizi di pagamento 2 (PSD2), che regola il commercio elettronico e i servizi finanziari online in Europa e rende obbligatoria l'autenticazione a due fattori (2FA). PSD2 incoraggia inoltre l'uso di schede di sicurezza, dispositivi mobili e scanner biometrici per migliorare l'esperienza dell'utente senza compromettere la sicurezza.
E il National Institute of Standards and Technology (NIST), che definisce i criteri per vari settori, nelle sue linee guida sulle identità digitali afferma che le organizzazioni dovrebbero allontanarsi da password e passcode una tantum e adottare una moderna autenticazione forte.
"Più specificamente, NIST consiglia l'autenticazione con cui il tuo dispositivo moderno crea e utilizza chiavi private crittografiche come le nuove credenziali del tuo account e le archivia in modo sicuro sul tuo dispositivo personale allo stesso modo in cui la maggior parte degli smartphone ora memorizza in modo sicuro i dati delle tue impronte digitali", afferma McDowell.
Si discute se la regolamentazione del governo ostacolerà o incoraggerà l'innovazione. Ma a questo punto, potremmo aver bisogno di una spinta normativa verso l'adozione di meccanismi di autenticazione più sicuri.
"I governi possono svolgere un ruolo fondamentale nell'adozione di standard aperti", afferma Ehrensvard. "Dai un'occhiata alla cintura di sicurezza, per esempio. Anche questo è uno standard aperto, e il suo uso è stato regolato dal governo. Per questo motivo oggi ci sono 10 volte più auto sulla strada ma un numero totale inferiore di incidenti mortali. ".
Accedere alla stessa pagina
La sostituzione diffusa dell'autenticazione con sola password richiede molto più che normative. Senza una serie di protocolli standard, le organizzazioni e le aziende faranno fatica a trovare una tecnologia di autenticazione che li mantenga in linea con le normative di sicurezza, rendendo le loro applicazioni disponibili per i loro utenti.
Questo era il problema che FIDO doveva risolvere. L'autenticazione FIDO si basa su una serie di standard tecnologici liberi e aperti, sviluppati in collaborazione con il World Wide Web Consortium (W3C). L'obiettivo è creare interoperabilità tra dispositivi e servizi consentendo all'intera industria dell'elettronica di consumo di integrare la tecnologia nei propri prodotti e piattaforme.
FIDO sostituisce le password con la crittografia a chiave pubblica. Ciò significa che anziché le password, gli utenti vengono identificati con una coppia di chiavi pubbliche e private. Qualsiasi cosa crittografata con una chiave pubblica può essere decrittografata solo dalla corrispondente chiave privata. Quando un utente si iscrive con un servizio online che supporta l'autenticazione FIDO, il servizio genera una coppia di chiavi e memorizza la chiave pubblica sui propri server. La chiave privata è memorizzata solo sul dispositivo dell'utente. Quando si accede, all'applicazione client viene presentata una sfida crittografica generata con la chiave pubblica, che può essere risolta solo dalla chiave privata. Gli utenti devono verificare la propria identità con il proprio dispositivo (tramite impronta digitale, viso o PIN) per sbloccare la propria chiave privata e risolvere la sfida.
Il vantaggio di questo modello è che fornisce l'autenticazione a più fattori senza richiedere la memorizzazione e lo scambio di password. Anche se gli hacker riescono a violare i server del fornitore di servizi, avranno accesso solo alle chiavi pubbliche, che sono inutili senza le corrispondenti chiavi private memorizzate sui dispositivi degli utenti. Se gli hacker rubano il dispositivo di un utente, dovranno comunque ignorare la verifica dell'identità locale per ottenere la chiave privata. Dal punto di vista dell'utente, ciò ovvia alla necessità di memorizzare password lunghe e complesse per ciascun account, garantendo al contempo una sicurezza superiore.
Ma il più grande successo di FIDO è ottenere un ampio supporto dall'industria tecnologica. L'alleanza ha riunito grandi nomi come Google, Microsoft, Amazon e Intel per sviluppare standard che sarebbero facili da implementare su diversi tipi di dispositivi e sistemi operativi.
"Le aziende che si sono unite per formare FIDO Alliance hanno capito che la sostituzione delle password per l'autenticazione online poteva diventare sempre più commercialmente praticabile su scala attraverso una combinazione di standard tecnologici liberi e aperti, un'esperienza utente di gran lunga superiore e un approccio fondamentalmente diverso al modello di sicurezza ", Dice McDowell.
FIDO ha recentemente rilasciato FIDO2, un'estensione del suo standard che aggiunge il supporto per l'autenticazione con chiave pubblica per i browser e una vasta gamma di framework di applicazioni. Lo standard è supportato da Windows 10, Google Play Services su Android e dai browser Web Chrome, Firefox e Edge. WebKit, la tecnologia alla base del browser Safari di Apple, potrebbe presto aggiungere anche il supporto per FIDO2.
"Lo standard FIDO2 consente di sostituire un'autenticazione basata su password debole con un'autenticazione basata su hardware avanzata che utilizza la crittografia a chiave pubblica", afferma Ehrensvard, la cui società Yubico è tra i membri chiave di FIDO. "Questo standard consente l'autenticazione senza password in diverse forme, anche tramite USB e NFC tap-and-go, che offre un'esperienza utente ottimale e migliora drasticamente la sicurezza e la produttività."
Quando passeranno finalmente le password?
Sebbene l'industria abbia fatto molta strada verso lo sviluppo di metodi di autenticazione alternativi, le password non scompariranno dall'oggi al domani. "Dovremmo tenere conto del fatto che disponiamo di molti software e sistemi informativi" legacy ". Ecco perché non è sempre possibile modificare facilmente le regole di autenticazione stabilite, comprese quelle basate su password", afferma Momot, amministratore delegato di REMME.
Altri esperti come Sandor Palfy, CTO di LogMeIn, ritengono che le password rimarranno un aspetto centrale per identificare gli utenti. Ritiene inoltre che l'industria dovrebbe concentrarsi sul miglioramento dell'esperienza della password.
- I migliori gestori di password per il 2019 I migliori gestori di password per il 2019
- Qual è la password? Riproduci musica e accedi tramite onde cerebrali Qual è la password? Riproduci della musica e accedi tramite le onde cerebrali
- Email porno fasulle usando vecchie password per truffarti senza contanti Email porno fasulle usando vecchie password per truffarti senza contanti
"Fino a quando non sarà disponibile la copertura universale con autenticazione a più fattori (o anche autenticazione comportamentale o contestuale), le aziende devono investire nel rafforzamento dei servizi protetti da password in uso nell'intera organizzazione", afferma Palfy.
"Ricordare password uniche e complesse per tutto il nostro lavoro e gli account personali non si allinea al comportamento umano naturale. Utilizzando strumenti come i gestori di password, ricordare più password dovrebbe essere un ricordo del passato, con gli utenti che devono solo ricordare una password principale, "afferma Palfy, la cui azienda è lo sviluppatore del gestore password LastPass.
Ma per McDowell, che è alla guida di FIDO dal 2014, la ricerca per sradicare le password sta finalmente raggiungendo le sue fasi finali. "Oggi il futuro senza password sta diventando una realtà, un'applicazione alla volta. Entro pochi anni, mi aspetto che i moduli di immissione della password siano così rari da trovare sulle pagine Web come le cabine telefoniche pubbliche sono negli spazi pubblici al giorno d'oggi, e per il stesso motivo: abbiamo un'alternativa conveniente e onnipresente che offre un'esperienza utente molto migliore ", afferma.