Un MFA senza password offre un'alternativa
Accedere con un nome utente e una password è ancora lo standard. Ma questa procedura ha molti svantaggi e le aziende stanno cercando delle alternative. Una possibilità è l'MFA senza password.
Anche se più dell'80% di tutti gli incidenti di sicurezza sono legati a password rubate, spiate o troppo deboli, la maggior parte delle aziende si basa ancora sulla classica procedura di login con nome utente e password. Ma non è solo la sicurezza inadeguata che parla contro questa autorizzazione di accesso. Le aziende stanno anche cercando alternative ai login basati su password a causa dell'impatto negativo sulla produttività dei dipendenti e dei notevoli costi amministrativi. Tali alternative esistono già, poiché le smart card e la crittografia a chiave pubblica permettono un'autenticazione sicura. Nel frattempo, uno smartphone può anche essere usato come una smartcard, il che semplifica notevolmente l'introduzione della tecnologia per l'MFA senza password.
Lo specialista dell'autenticazione Hypr dà consigli su come introdurre un vero login senza password e mostra a cosa le aziende dovrebbero prestare attenzione:
Inventario I: Dove sono le password più fastidiose?
Quando si introduce una soluzione di autenticazione senza password, le aziende dovrebbero prima analizzare in quali aree gli effetti negativi di un login basato su password sono maggiori:
- Dove sono più fastidiosi per l'utente?
- Dove causano più stress nel dipartimento IT?
- Dove sono peggiori per la produttività e più pericolosi per la sicurezza?
- Quali sono i sistemi più critici nell'azienda?
Inventario II: Quali soluzioni sono già in uso?
Per ridurre al minimo l'uso di password insicure e aggirare l'impatto negativo di un login basato su password sulla produttività dei dipendenti, le aziende stanno già utilizzando strumenti come password manager o procedure SSO (Single Sign On) - o una combinazione di entrambi.
Tuttavia, questi metodi non offrono un livello di sicurezza molto più alto. Infine, queste tecniche sono basate su password memorizzate in un database centrale, che è potenzialmente vulnerabile agli attacchi informatici. Inoltre, molte password sono semplicemente nascoste da una, creando un singolo punto di fallimento che porta un notevole potenziale di danno.
3. controllare l'autenticazione a più fattori (MFA)
Quando si introduce una soluzione MFA, è importante distinguere tra presunta e reale assenza di password: Per migliorare la sicurezza delle procedure di accesso basate su password, molte aziende utilizzano più fattori per autenticare un utente. La maggior parte delle soluzioni di autenticazione a più fattori sono basate su password e segreti condivisi - cioè, una password aggiuntiva aumenta la sicurezza del login. Ora che le aziende utilizzano sempre più spesso diversi servizi cloud, si trovano di fronte al dilemma di dover gestire diverse piattaforme di identità. E gli utenti finali si trovano di fronte a numerosi metodi di login multi-fattore che stanno diventando sempre più complessi e incoerenti, con un impatto negativo sulla loro produttività.
È vero che un MFA convenzionale offre un livello di protezione più alto rispetto all'accesso con solo un nome utente e una password. Ma vengono ancora utilizzati i segreti condivisi, che sono memorizzati centralmente in un database e sono vulnerabili a un attacco hacker.
4. attenzione: senza password non è uguale a senza password
Quando si introduce l'autenticazione senza password, le aziende dovrebbero assicurarsi che la soluzione offra una vera autenticazione multi-fattore senza password. A differenza delle tecniche MFA basate su password, le password sono sostituite da coppie di chiavi asimmetriche crittografiche sicure, in modo che gli attacchi degli hacker siano concepibili solo sui singoli dispositivi, ma non su un database di credenziali con numerose credenziali.
Inoltre, un MFA senza password solleva l'help desk IT riducendo significativamente i costi di gestione dei dati di accesso, ad esempio in caso di reset della password.
5. un vero MFA senza password già sul desktop aumenta la sicurezza
Un criterio importante per l'introduzione di una soluzione MFA senza password è che può già essere usata quando si accede al desktop. Questo significa che la protezione contro gli attacchi viene realizzata il più presto possibile e non solo quando l'utente è già nella rete. È di grande importanza che la soluzione funzioni anche offline, in modo che gli utenti siano protetti in ogni momento e possano, per esempio, accedere al loro laptop anche senza una connessione di rete. Questo è l'unico modo per assicurarsi che non debbano tornare a username e password come ripiego e che questa variante insicura di login possa essere esclusa.
6. valutare l'integrazione, la compatibilità e la sostenibilità
Si raccomanda una soluzione MFA senza password che sia flessibile, che si integri con i sistemi esistenti come le soluzioni di gestione dell'accesso all'identità e i servizi cloud e che supporti anche le vecchie applicazioni.
Dovrebbe anche essere compatibile con altre tecniche genuine senza password, per esempio token di sicurezza come le smart card e le chiavette FIDO, e supportare anche le soluzioni già integrate in vari computer portatili, come Windows Hello e Touch ID. L'uso per applicazioni mobili e web, ambienti VDI e VPN, connessioni desktop remote e il supporto per gli standard di sicurezza come FIDO2 dovrebbero essere una cosa ovvia. In modo ottimale, una tale soluzione funzionerà anche con applicazioni e servizi futuri grazie alla compatibilità con gli standard.
7. più comfort per l'utente grazie all'accesso via smartphone
Un MFA ottimale senza password supporta anche i dispositivi moderni come gli smartphone e fornisce un'esperienza utente efficiente e coerente. Così, il login può essere avviato sullo smartphone (fattore: proprietà) e autenticato dalla biometria (fattore: inerenza) o un PIN (fattore: conoscenza). È importante che lo standard industriale aperto per l'autenticazione a due fattori definito da FIDO Alliance sia supportato. Solo allora lo smartphone potrà diventare anche una smart card.
"Se un'azienda utilizza o introduce una soluzione di autenticazione senza password, dovrebbe controllare attentamente se è reale o solo orientata all'utente", spiega Jochen Koehler di Hypr. "È anche chiaro che soprattutto l'autenticazione multi-fattore senza password offre la massima sicurezza possibile - e molto importante: già al login del sistema operativo. Quindi non si fa entrare l'hacker prima in casa e poi gli si proibisce l'accesso alla camera da letto, ma lo si respinge già alla porta d'ingresso".
Fonte: Hypr
Altri argomenti:
- Suissedigital espande il suo controllo della sicurezza informatica
- Sicurezza informatica: pericoli sottovalutati
