Una parola dal suono così sgraziato, "passwordless" promette in realtà di rendere la vita molto più semplice, sia per gli utenti che per i team di sicurezza. Offre l'allettante prospettiva di tagliare i costi di amministrazione, migliorare la produttività e ridurre i rischi informatici. Eppure, nonostante questi vantaggi accattivanti, l'adozione in ambienti business-to-consumer (B2C) e business-to-business (B2B) non è stata così forte come ci si poteva aspettare.
Tuttavia, quando la più grande azienda di software del mondo decide di sostenere un nuovo approccio tecnologico, è il momento di prenderne atto. Tempo fa Microsoft aveva definito le password "scomode, insicure e costose"; a marzo di quest'anno l'azienda ha introdotto l'autenticazione senza password per i clienti aziendali. A settembre, Microsoft ha annunciato che avrebbe esteso il supporto a tutti gli utenti. Si potrebbe dire che l'era dell'autenticazione senza password è finalmente arrivata.
Quando le password non sono più adatte allo scopo
Le password esistono da quando esistono i computer. La loro scomparsa è stata predetta molte volte. Eppure sono ancora qui, a proteggere tutto, dalle applicazioni aziendali all'online banking, dalla posta elettronica agli account di e-commerce.
Il problema è che oggi abbiamo troppe credenziali da gestire e ricordare. Secondo una stima, il 57% dei lavoratori statunitensi ha scarabocchiato le password aziendali su foglietti adesivi. E il numero cresce continuamente con l'espansione della nostra impronta digitale. Una stima dell'ottobre 2020 sostiene che la persona media possiede circa 100 password, quasi il 25% in più rispetto a prima dell'inizio della pandemia.
Dal punto di vista della sicurezza informatica, la sfida delle password è ben documentata. Esse forniscono agli aggressori un obiettivo sempre più facile da rubare, indovinare, manipolare o forzare. Una volta in possesso di queste password, gli attori delle minacce possono mascherarsi da utenti legittimi, superando le difese di sicurezza perimetrali e rimanendo nascosti all'interno delle reti aziendali molto più a lungo di quanto sarebbe altrimenti possibile. Il tempo necessario per identificare e contenere una violazione dei dati è oggi di 287 giorni.
I gestori di password e i single sign-on offrono una forma di rimedio a queste sfide, memorizzando e ricordando password complesse per ogni account in modo che gli utenti non debbano farlo. Ma non sono ancora universalmente diffusi tra i consumatori. Il risultato? Riutilizziamo credenziali facili da ricordare per più account, esponendo gli account dei consumatori e delle aziende all'infiltrazione di credenziali e ad altre tecniche di forza bruta.
Non si tratta solo di rischi per la sicurezza. La gestione delle password richiede ai team IT un notevole dispendio di tempo e denaro e può aggiungere ulteriore attrito al percorso del cliente. Le violazioni possono richiedere il ripristino di massa di un gran numero di account, il che può interferire con l'esperienza dell'utente negli ambienti B2B e B2C.
Come l'assenza di password può essere vantaggiosa per l'azienda
In questo contesto, l'autenticazione senza password rappresenta un importante passo avanti. Utilizzando un'app di autenticazione con sistemi biometrici come il riconoscimento facciale, o una chiave di sicurezza o un codice univoco inviato via e-mail/SMS, le organizzazioni possono eliminare in un colpo solo i problemi di sicurezza e amministrazione associati alle credenziali statiche.
Adottando questo approccio per le operazioni B2B e B2C, le organizzazioni possono:
· Migliorare l'esperienza dell'utente: Rendendo i login più fluidi ed eliminando la necessità per gli utenti di ricordare le password. Questo potrebbe anche migliorare le vendite, se i carrelli della spesa vengono abbandonati a causa di problemi di login.
· Migliorare la sicurezza: Se non ci sono password da rubare, le organizzazioni possono eliminare un vettore chiave per la compromissione. Si sostiene che le password siano state la causa dell'84% delle violazioni dello scorso anno. In questo modo, almeno, i malintenzionati faranno molta più fatica a ottenere ciò che vogliono. E gli attacchi di credential stuffing, attualmente tentati a miliardi ogni anno, diventeranno un ricordo del passato.
· Ridurre i costi e i danni alla reputazione: Riducendo al minimo le opportunità di ransomware e violazioni di dati finanziariamente dannose. Ridurrà anche i costi di amministrazione IT associati alla reimpostazione delle password e alle indagini sugli incidenti. Secondo un rapporto, questo potrebbe costare fino a 150 sterline (200 dollari) per ogni reset di password e 30.000 ore di produttività persa all'anno. Senza contare il tempo extra liberato dai team IT per dedicarsi ad attività di maggior valore.
Cosa ostacola il passwordless?
Tuttavia, l'assenza di password non è la panacea di tutti i mali. Ci sono ancora diversi ostacoli all'adozione di questo approccio, tra cui:
· La sicurezza non è garantita al 100%: Gli attacchi di SIM swapping, ad esempio, possono aiutare gli attori delle minacce a eludere i codici di accesso unico (OTP) inviati via SMS. E se gli hacker riescono ad accedere ai dispositivi/macchine, ad esempio tramite spyware, possono anche intercettare gli OTP.
· La biometria non è una pallottola d'argento: Autenticandosi con un attributo fisico che l'utente non può modificare o resettare, la posta in gioco diventa molto più alta se gli hacker trovano un modo per violare il sistema. Sono già in fase di sviluppo tecniche di apprendimento automatico per minare la tecnologia di riconoscimento vocale e facciale/immaginale.
· Costi elevati: Le PMI con un'ampia base di utenti o clienti possono scoprire che l'introduzione di una tecnologia senza password finisce per essere piuttosto costosa, per non parlare dei potenziali costi legati all'emissione di dispositivi o token sostitutivi, se del caso. L'utilizzo di un fornitore affermato come Microsoft è più sensato, anche se ci sarà un costo di sviluppo interno associato.
· Riluttanza degli utenti: C'è un motivo per cui le password hanno resistito alla prova del tempo, nonostante le loro gravi carenze di sicurezza: gli utenti sanno istintivamente come usarle. Il superamento della paura dell'ignoto potrebbe essere affrontato più facilmente in un contesto aziendale, dove gli utenti non hanno altra scelta che seguire le regole. Ma in un mondo B2C potrebbe creare un attrito supplementare sufficiente a scoraggiare i clienti. Occorre quindi prestare attenzione a rendere il processo di login il più fluido e intuitivo possibile.
Con l'inizio dell'era post-pandemia, due tendenze determineranno il futuro dell'adozione di passwordless: l'aumento dell'uso di servizi online per i consumatori e l'emergere del luogo di lavoro ibrido. Poiché il dispositivo mobile è al centro di entrambe le tendenze, sembra logico che qualsiasi strategia aziendale senza password parta da qui.