Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Cyber Security

Il futuro dell’autenticazione online è senza le password

Il furto delle password o l’uso di combinazioni troppo semplici è alla base di 4 data breach su 5, oltre a creare mal di testa agli utenti e costi di gestione elevati alle aziende. Uno studio fa il punto e propone 5 metodi alternativi che potrebbero essere implementati già oggi

28 Gen 2020

Giulia Cimpanelli

Liberiamoci delle password! È questa la chiave della sicurezza secondo il report Passwordless Authentication The next breakthrough in secure digital transformation presentato al World Economic Forum e realizzato in collaborazione con FIDO Alliance. Si stima che il crimine informatico costerà all’economia globale 2,9 milioni di dollari ogni minuto nel 2020 e circa l’80% di questi attacchi si deve a password troppo deboli, o rubate. I sistemi di autenticazione basati su pin, password, passphrase o qualsiasi elemento da ricordare, non solo provocano forti mal di testa agli utenti, ma sono costosi da mantenere. Per le grandi aziende si calcola che quasi il 50% dei costi dell’help desk IT siano dovuti a reimpostazioni di password, con una spesa media annua che supera il milione di dollari.

Un modello di autenticazione privo di password non consiste, ovviamente, nel rimuovere tutte le barriere di Cyber Security. Significa invece sfruttare strumenti come l’intelligenza artificiale e il machine learning per far risparmiare tempo agli utenti e denaro alle aziende.

I consumatori richiedono inoltre un’esperienza digitale migliore, più veloce, unita a una maggiore sicurezza. Migliori pratiche di autenticazione non sono quindi soltanto possibili oggi, ma sono una necessità. La strada da percorrere punta verso un’autenticazione basata su standard, con sistemi crittografici sicuri, per mantenere le informazioni di login sicure e private, fornendo al contempo un’esperienza utente semplice.

Sono cinque le principali tecnologie di autenticazione senza password, pronte per essere implementate dalle aziende internazionali: biometria, One time password, Qr code, Biometria comportamentale (analisi dei comportamenti ricorrenti) e prove “zero-knowledge”.

Biometria

I recenti progressi tecnologici degli smartphone si traducono in fotocamere e modelli di machine learning per il riconoscimento facciale e scansione dei documenti sempre più performanti. Ora possono essere utilizzati per riconoscere le persone da remoto e su larga scala. A breve, quando un utente creerà un nuovo account online, scatterà una foto del proprio volto e dei propri documenti e l’applicazione confronterà le immagini automaticamente senza bisogno di password.

Chiavi hardware

Secondo una sperimentazione di Google, l’uso di dispositivi hardware, ad esempio una chiavetta USB che può essere agganciata al portachiavi, fornisce un buon compromesso fra usabilità e per l’utente e facilità di implementazione. Le alternative sono soluzioni NFC o Bluetooth o incorporate nello smartphone: tutte hanno in comune il fatto che l’oggetto fisico debba essere presente nel momento del login.

Qr code

È possibile utilizzare codici Qr animati complessi per autenticarsi senza password. Gli utenti si possono logare inquadrando un Qr code con uno smartphone per provare la propria identità. Arriverà quindi un messaggio di conferma su una apposita app che proverà l’avvenuto accesso. Dal momento che il codice è animato, unico e ha una durata molto breve, fornisce un metodo sicuro.

Analisi del comportamento

Il riconoscimento dell’utente sulla base dei suoi comportamenti offre opzioni di autenticazione accurate quando accompagnata a un login di primo livello. Un esempio è l’acquisizione di un profilo sulla base della modalità di digitazione dei tasti tipico dell’utente, un metodo che non influisce sull’esperienza dell’utente.

Prove “zero-knowledge”

Una soluzione zero-knowledge proves (ZKP) per la gestione delle password prevede un algoritmo di riconoscimento delle password senza che queste password vengano mai digitate. In pratica, si forniscono in modo astratto una serie di informazioni che portano a identificarle: come se venissero fornite le istruzioni per far in modo che una faccia di un cubo di Rubrik componga un determinato pattern, con una probabilità sufficiente.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4