Alleviare il carico dell’help desk, ridurre la frustrazione degli utenti e diminuire il rischio di accessi malintenzionati. Queste sono le motivazioni principali per diminuire la dipendenza dalle password e per adottare un sistema di autenticazione passwordless.

Questo comporta tecnologie in grado di supportarlo, tempo alle aziende per l’implementazione e soprattutto sviluppare una nuova mentalità. Si consiglia di adottare un approccio graduale per garantire l’accesso agli utenti, procedere a piccoli step che conducano ad un futuro completamente senza password.

Secondo Microsoft ci sono quattro fasi che un’azienda deve affrontare per adottare una soluzione passwordless:

  1. Sviluppare un’offerta di sostituzione delle password
    Prima di implementare una soluzione passwordless bisogna ridurre la dipendenza dalle password selezionando casi d’uso specifici. In questa fase è necessario trovare delle soluzioni che sostituiscono le password con altri metodi di autenticazione come ad esempio FIDO2.

  2. Ridurre l’area della superficie della password visibile dall’utente
    L’obiettivo di questo passaggio consiste nel raggiungere uno stato in cui gli utenti sanno di avere una password, ma non la usano mai. L’ambiente e i flussi di lavoro devono interrompere la richiesta di password. In questa fase è possibile ridurre la dipendenza dalle password implementando l’MFA che consiste nell’aggiungere ulteriori livelli di sicurezza alle procedure di login al fine di ridurre considerevolmente il rischio di accessi non autorizzati e sfruttando SSO che consente agli utenti di accedere a più applicazioni con un unico set di credenziali di accesso, fornendo così un accesso più semplice a una varietà di applicazioni web, al fine di garantire un’esperienza utente migliore.

  3. Transizione in una distribuzione con password
    Nel terzo passaggio l’utente non dovrà mai usare la password nei propri flussi di lavoro.
    Per raggiungere questo obiettivo bisogna applicare criteri di accesso basati sul contesto dell’utente, del dispositivo, della posizione, del comportamento in modo da garantire che l’autenticazione possa essere considerata attendibile.

  4. Eliminare le password dalla directory delle identità
    La fase finale del viaggio consiste nell’eliminare del tutto le password dall’identità. In questo modo l’utente non utilizza la password, la password non “esiste” più.

Fig.  1  –  Strategia passwordless secondo Microsoft,
Immagine tratta da www.microsoft.com, Microsoft Security Team

Bisogna sottolineare che la strada verso un’autenticazione senza password è un viaggio e la durata di questo viaggio varia per ciascuna azienda ed è molto importante che i decision-makers comprendano i criteri in grado di influenzare la durata di questo viaggio.

Scegliere la giusta tecnologia con Microsoft?

Grazie ai nuovi standard aperti di autenticazione come FIDO2 e sistemi di riconoscimento biometrico, il numero di tecnologie che mirano a ridurre l’uso della password è aumentato. Microsoft offre soluzioni basate su piattaforma, hardware o software che puoi provare da oggi per mappare con i tuoi requisiti di passwordless authentication.

Windows Hello versione business

Windows Hello permette di sbloccare il dispositivo, PC o mobile, senza la digitazione di una password, grazie all’utilizzo dei sensori biometrici o un PIN che verifica l’identità dell’utente. La licenza business fornisce sicurezza aggiuntiva, crittografia PKI, policy di deployment e criteri di sicurezza per controllare la complessità del PIN.

Molte aziende pensano che costringere gli utenti a utilizzare password complesse sia sufficiente per la sicurezza.

Qual è la differenza tra l’utilizzo di una password e Windows Hello?

La principale differenza sta nel fatto che un PIN o un’impronta digitale è una credenziale locale, mentre una password è una credenziale centralizzata. Questa è una distinzione importante da capire perché se un utente malintenzionato scopre qual è il tuo pin, non può usarlo come se fosse una password perché il PIN è associato a quel particolare dispositivo registrato in modo che possa essere utilizzato solo da quel dispositivo. La password invece può essere utilizzata da qualsiasi luogo.

Microsoft Authenticator

L’app Microsoft Authenticator consente agli utenti di verificare la propria identità e di autenticarsi sul proprio account di lavoro o personale senza digitare una password. Invece di utilizzare una password, gli utenti confermano la propria identità utilizzando il telefono cellulare tramite la scansione delle impronte digitali, il riconoscimento del viso, dell’iride o il PIN.

Come funziona?

Fig.  2  –  La prima volta che un account Microsoft accede a Windows con l’app Microsoft Authenticator
Immagine tratta da www.microsoft.com, Anastasiya Tarnouskaya

Dopo aver digitato un nome utente, al posto di una richiesta di password, l’utente riceve una notifica push per verificare la presenza. Nell’app, gli utenti confermano la propria identità abbinando un numero nella schermata di accesso, con un’autenticazione biometrica come la scansione del viso, un’impronta digitale o un PIN per sbloccare la chiave privata e completare l’autenticazione.

Chiavi di sicurezza FIDO2

Per le aziende che hanno un ambiente PC condiviso, la soluzione FIDO di Microsoft fornisce un modo semplice per gli utenti di autenticarsi senza digitare un nome utente o una password. Le chiavi di sicurezza FIDO2 offrono anche un’ottima opzione per le aziende che sono molto sensibili alla sicurezza o hanno dipendenti che non sono disposti o in grado di utilizzare il proprio telefono come secondo fattore.

Architettura del flusso di autenticazione passwordless

Tutte e tre le tecnologie di Microsoft utilizzano lo stesso modello di autenticazione crittografica, con credenziali basate sul certificato o sulla coppia di chiavi asimmetriche. Queste credenziali sono associate al dispositivo che può essere un pc, un telefono cellulare o una chiave di sicurezza FIDO2.

L’autenticatore genera una coppia di chiavi e restituisce la chiave pubblica. Facoltativamente, l’autenticatore restituisce anche un’attestazione al provider di identità come Azure Active Directory.
Il provider di identità convalida l’identità dell’utente e mappa la chiave pubblica a un account utente durante la fase di registrazione o provisioning.

Le chiavi private sono associate ad un unico dispositivo, archiviate in modo sicuro sul dispositivo stesso e non vengono mai condivise. Queste chiavi non si spostano e non vengono mai inviate a dispositivi o server esterni. L’inserimento del PIN o di un elemento biometrico fanno sì che i dispositivi utilizzino la chiave privata per firmare i dati inviati crittograficamente al provider di identità. Il provider di identità verifica l’identità dell’utente e autentica l’utente.

Passare a passwordless authentication è un approccio a lungo termine e in evoluzione. Il raggiungimento di un ambiente completamente privo di password è un viaggio che implica l’adozione di tecnologie adatte ed un cambio di mentalità.

Contattaci per scoprire di più su ciò che Microsoft sta facendo per aprire la strada a un futuro senza password e come implementare le sue tecnologie nel tuo ecosistema aziendale.


Oggi, la sicurezza IT si sta muovendo verso l’autenticazione passwordless utilizzando tecnologie avanzate come la biometria, il PIN e la crittografia a chiave pubblica/privata. Tutto ciò è fattibile grazie a nuovi standard come Web Authentication API (WebAuthN) e Fast Identity Online (FIDO2) progettati per sostituire le password con dati biometrici e dispositivi che le persone utilizzano già all’interno delle aziende, quali chiavi di sicurezza, smartphone, scanner di impronte digitali o webcam.

Anche se l’autenticazione passwordless si basa su fondamenta solide, IT manager, professionisti e dipendenti nutrono diverse preoccupazioni su come i dati biometrici vengono raccolti, archiviati, utilizzati e che impatto potrebbe avere l’adozione di una strategia passwordless sulle loro applicazioni legacy.

Vediamo insieme di fare chiarezza su tre delle principali questioni oggetto di riflessione da parte di IT manager e decision maker.

Malinteso 1: PIN e Password sono la stessa cosa?

Ad oggi, molti dispositivi, che siano pc o smartphone, danno la possibilità di accedere con un numero di identificazione personale (PIN) invece di una password. Probabilmente ti sarai chiesto cosa sia esattamente un PIN e in cosa differisce da una password?

Un PIN può essere un insieme di numeri, anche se i criteri aziendali sempre più stringenti potrebbero consentire PIN complessi che includono caratteri speciali e lettere, sia maiuscole che minuscole.

Il modo più comune per implementare il PIN è associarlo ad una risorsa specifica come ad esempio un computer, una carta di credito o un telefono.

Il PIN può essere archiviato su un server o sul dispositivo. Nel caso di Windows 10, Microsoft utilizza un chip fisico chiamato Trusted Platform Module (TPM) che include più meccanismi di sicurezza fisica e algoritmi crittografici per rendere quasi impossibile la compromissione. Il PIN viene memorizzato solo sul PC client. Questo approccio è più sicuro della convalida sul server perché un utente malintenzionato dovrebbe ottenere l’accesso al computer stesso per rubare il PIN. Allo stesso modo, le nuove carte di credito con chip che vengono ora ampiamente distribuite, memorizzano il PIN localmente in modo che non vi sia alcuna possibilità di un compromesso su larga scala a livello di server.

Ed è qui che sta la differenza tra PIN e password: autenticazione locale e autenticazione remota.

Il PIN è una credenziale locale mentre una password è una credenziale centralizzata. Questa è una distinzione importante da capire perché se un utente malintenzionato scopre quale sia il tuo pin non può usarlo come fosse una password dal momento che il PIN è associato ad un dispositivo: in questo modo può essere utilizzato solo su quel particolare dispositivo registrato. La password invece può essere utilizzata da qualsiasi luogo.

Malinteso 2: Un sistema di accesso biometrico può essere violato o contraffatto?

Nell’articolo precedente abbiamo visto come Windows Hello consente agli utenti di accedere immediatamente ai propri dispositivi Windows 10 utilizzando la scansione delle impronte digitali, la scansione dell’iride o il riconoscimento facciale.

Microsoft comprende quanto sia fondamentale proteggere i dati biometrici dal furto. Per questo motivo, la tua “firma biometrica” è protetta localmente sul dispositivo e condivisa con nessun’altro all’infuori di te.

Ad esempio, in Windows Hello, la scansione dell’iride non viene gestita dalle nostre webcam o fotocamere dei telefoni: Microsoft vuole utilizzare “una combinazione di hardware e software speciali” per assicurarsi che il sistema non possa essere sconfitto. Lo scanner dell’iride si basa sulla tecnologia a infrarossi (potenzialmente, nel vicino infrarosso). Ciò significa che sarà in grado di funzionare in tutte le condizioni di illuminazione e di vedere l’iride attraverso gli occhiali, anche colorati.

Tutto questo sarà fattibile senza correre alla necessità di dover memorizzare i dati biometrici degli utenti. Infatti, questo valore biometrico (nel caso specifico l’iride) viene utilizzato come fattore iniziale per poi sbloccare un secondo fattore più sicuro: una chiave crittografica privata che funziona per autenticare un utente. Un metodo di attacco biometrico comune prevede il tentativo di falsificare la parte del corpo di una persona, con l’obiettivo di indurre il sistema a pensare che un falso sia reale. Qualsiasi attacco di spoofing o hacking richiederebbe prima che l’aggressore ottenga la custodia del dispositivo. Al di là dei vari livelli di protezione, molti sistemi biometrici oggi stanno costruendo il “liveness detection” per convalidare che una presentazione biometrica sia reale.

Malinteso 3: Implementare un’autenticazione passwordless influisce anche sulle mie app e protocolli legacy?

L’adozione di un’autenticazione passwordless quando si utilizzano ancora i protocolli legacy rappresenta una sfida. Tuttavia, a questo scopo, Microsoft sta sviluppando una password limitata nel tempo, una sorta di password monouso con un’ora corrente o un limite di tempo che l’utente potrebbe generare quando utilizza l’autorizzazione legacy.

Guardare al futuro significa quindi gettare il cuore oltre l’ostacolo e iniziare a pensare ad un universo autenticativo non più legato ai fatidici otto caratteri, con maiuscola, cifra e carattere speciale. Ma significa anche immaginare una realtà aziendale in grado di sfruttare appieno le possibilità in ambito sicurezza applicativa che l’ecosistema Microsoft è in grado di offrire.

Tutto più semplice con il giusto supporto,  contattaci!


Mentre stai leggendo questo articolo, sempre più password vengono rubate e trapelate a causa di violazioni dei dati. A questo punto, ti starai chiedendo se gli hacker siano diventati più intelligenti o se le organizzazioni non stiano dando alla protezione dei dati l’importanza che merita.

Nella maggior parte dei casi, oltre il 67%, si tratta di furto di credenziali, social engineering, phishing o compromissioni delle e-mail aziendali. Spesso queste tipologie di attacchi vengono facilitate dalla scelta di credenziali deboli (37%) o da un errore umano (22%). È quello che emerge dall’ultimo report pubblicato da Verizon Business (1): “Data Breach Investigations Report 2020”.

Un altro fatto interessante che emerge al di là da questo report, è che oltre l’80% delle violazioni nell’ambito dell’hacking coinvolge la forza bruta o l’uso di credenziali smarrite o rubate.

Una violazione è dannosa per le aziende: può comportare la perdita di clienti e partnership, compromettere la proprietà intellettuale e implicare azioni legali; possono essere necessari anni per riprendersi e alcune aziende possono non riprendersi più.

Secondo il report pubblicato da IBM (2), in Italia il costo medio relativo al furto o alla perdita di un singolo dato è pari a 125 euro, con un costo medio complessivo delle violazioni di dati pari a 2,90 milioni di euro.

Possiamo confermare con convinzione che i costi ora superano i vantaggi dell’utilizzo delle password, che sempre più diventano prevedibili e rendono gli utenti vulnerabili ai furti.

Le password non servono più

Le password sono sempre state una sfida nel panorama della sicurezza, essendo uno dei modi più comuni con cui gli hacker penetrano nell’ecosistema aziendale. Le password semplici e di uso comune consentono infatti agli intrusi di ottenere facilmente l’accesso e il controllo di un dispositivo informatico. Per proteggere il loro perimetro, le aziende hanno dovuto implementare altri metodi che vanno oltre l’utilizzo della semplice password per la protezione, quali ad esempio l’autenticazione multi-fattore (MFA).

Combinando la password con un pin o la biometria, l’autenticazione a più fattori ha presentato un metodo più sicuro per tutti. Tuttavia, a seconda dell’implementazione, l’MFA può anche portare a una crescente complessità per quanto riguarda l’esperienza utente. È fondamentale per i teams IT offrire un’esperienza utente senza interruzioni, bilanciando al contempo i rischi per la sicurezza.

Fonte: Microsoft

Oggi la sicurezza IT si sta muovendo verso l’autenticazione senza password, utilizzando tecnologie avanzate come la biometria, il PIN e la crittografia a chiave pubblica/privata. Inoltre, nuovi standard come Web Authentication API (WebAuthN) e Fast Identity Online (FIDO2) consentono l’autenticazione senza password su tutte le piattaforme. Questi standard sono progettati per sostituire le password con dati biometrici e dispositivi che le persone utilizzano già all’interno delle aziende, come chiavi di sicurezza, smartphone, scanner di impronte digitali o webcam.

Adottare una strategia passwordless per le imprese significa:

  • Migliorare l’esperienza utente
    Una riduzione della frustrazione degli utenti e un aumento della produttività.
  • Ridurre i tempi e costi dell’IT
    Una riduzione del carico amministrativo dei ticket di help desk relativi alle password e delle reimpostazioni delle password.
  • Environment più sicuro
    L’eliminazione di minacce e vulnerabilità legate alle password (phishing, password rubate o deboli, riutilizzo delle password, attacchi di forza bruta, ecc.).

Introduzione a passwordless authentication

Passwordless authentication è un metodo per verificare le identità degli utenti senza l’uso di password o altri segreti memorizzati.

Invece delle password, l’identità può essere verificata richiedendo all’utente una combinazione di:

  • Qualcosa che possiede: un oggetto che identifica in modo univoco l’utente (ad es. Yubico key, un dispositivo mobile registrato o un token hardware)
  • Qualcosa che egli è: la firma biometrica di una persona (ad esempio impronta digitale, viso, retina, ecc.).

Questo tipo di autenticazione utilizza la crittografia a chiave asimmetrica: il dispositivo crea una coppia di chiavi (pubblica e privata) al momento della registrazione. Durante l’autenticazione, l’accesso alla chiave privata, utile al processo di firma, può essere effettuato solo utilizzando qualcosa che l’utente possiede (PIN) o che egli è (impronta digitale, retina, ecc).

Implementare un processo di autenticazione di tipo passwordless non è un compito da poco, soprattutto quando si ha a che fare con tante utenze, un numero considerevole di app, infrastrutture ibride e flussi di accesso complessi. Il raggiungimento di un ambiente completamente privo di password è un viaggio che implica un approccio graduale che tuttavia deve tenere il passo con l’inarrestabile evoluzione tecnologica. Sebbene l’eliminazione completa delle password sia ancora lontana, è già possibile ridurre la dipendenza da esse.

Noi di Athesys ti consigliamo di avere alcuni esperti assegnati specificamente al tuo percorso “zero trust”, in modo da poter risolvere eventuali problemi non appena si presentino; se eseguito correttamente, un approccio senza password riduce al minimo la probabilità di una violazione a causa del furto delle credenziali.

 

Fonti:

  1. 2020 Data Breach Investigations Report, Verizon
  2. 2019 Cost of a Data Breach Report,  IBM