Di Andrea Bortoluzzi – Scrum Master at InfoCert
Utilizzare una password per accedere ad applicativi, piattaforme o servizi informatici di qualunque tipo, ad oggi, è uno dei metodi più utilizzati, ma non sempre l’utilizzo di una password offre un’ottima esperienza d’uso agli utenti.
Per essere sicura una password deve essere sufficientemente forte, ovvero complessa (molti caratteri, combinazioni di lettere, numeri e caratteri speciali, senza un significato reale).
In questi casi la password diventa però così difficile da memorizzare che, proprio per questo, si finisce spesso per preferire utilizzarne una, sempre uguale, per più servizi. Il ragionamento che l’utente medio fa è più o meno questo: “scelgo una password sicura, la memorizzo e uso sempre quella”.
Una password valida deve essere complessa e sicura, ma spesso diventa difficile da memorizzare
La soluzione su ipotizzata semplifica l’esperienza d’uso ma non garantisce un buon livello di sicurezza. Infatti, in caso di compromissione di un sistema o servizio, è altamente probabile che il problema possa finire per interessare anche gli altri account posseduti dallo stesso utente, con danni difficilmente prevedibili e quantificabili.
Anche evitando di prendere in considerazione situazioni limite, quale la compromissione di un sistema, vedremmo che la gestione delle password è comunque interessata da altre problematiche frequenti, seppur meno gravi.
Ad esempio, solitamente gli utenti hanno la consapevolezza che per sistemi “critici”, come un servizio di home banking, siano necessarie password complesse e dedicate, ma spesso queste vengono dimenticate costringendo gli utilizzatori a procedure di rispristino non sempre immediate.
Una alternativa all’utilizzo delle password per la gestione degli accessi, vantaggioso per gli utenti ma anche per le organizzazioni, è offerta dalle cosiddette tecnologie passwordless. Tecnologie non recentissime, ma che solo negli ultimi tempi stanno registrando una crescita significativa in termini di adozione e diffusione.
Come funziona l’autenticazione passwordless?
L’autenticazione passwordless si basa fondamentalmente sul possesso di due elementi, uno pubblico ed uno privato.
L’elemento pubblico risiede sui sistemi che mettono a disposizione il servizio al quale si vuole accedere. Tale elemento pubblico sarà fornito al sistema dall’utente durante il processo di registrazione. Può essere, banalmente, una username o altro identificativo fornito in modo sicuro al servizio.
L’elemento privato, necessario a completare correttamente l’autenticazione, deve invece risiedere su un dispositivo fisico in possesso dell’utente e in questo caso si aprono molte possibilità.
Infatti, tale dispositivo può essere un token hardware che genera delle OTP (One Time Password); si può altrimenti utilizzare una app mobile installata su uno smartphone (e in questo caso, se presenti, è possibile utilizzare uno dei sistemi di riconoscimento biometrico offerti dallo stesso smartphone); o anche sistemi hardware più complessi e appositamente studiati per la gestione di dati biometrici (scansione della retina, riconoscimento vocale, etc.).
Possiamo quindi riassumere il principio del passwordless nel seguente modo: identificare l’utente in base a qualcosa in suo possesso (token hardware, smartphone e mobile app), oppure in base a caratteristiche univoche dell’utente stesso (dati biometrici).
Il processo di autenticazione sarà quindi completato:
- inserendo la componente pubblica (username, ad esempio) nella pagina web del servizio richiedente l’autenticazione dell’utente;
- fornendo al servizio remoto la componente privata, ad esempio tramite smartphone, sul quale si riceverà una notifica e una richiesta di conferma per portare a termine l’autenticazione.
Ma gli esempi potrebbero essere parecchi, con variazioni rispetto al processo appena visto, come la generazione tramite app di un codice temporaneo da inserire sulla pagina web contestualmente alla componente pubblica, oppure l’inserimento in un lettore dedicato di una smartcard.
Vantaggi di una soluzione passwordless
Un utente che utilizza una soluzione di questo tipo ha l’immediato vantaggio di non dover memorizzare password complesse con i problemi precedentemente descritti. Una soluzione passwordless riduce anche il rischio di compromissione delle credenziali di accesso: è infatti evidente che la sola compromissione della componente pubblica non sarebbe sufficiente a compromettere l’accesso al servizio (l’autenticazione andrebbe comunque completata con la verifica della componente privata).
Per le Organizzazioni i vantaggi derivanti dall’adozione di sistemi di autenticazione passwordless sono molteplici. Ad esempio, il carico di lavoro dovuto alla gestione delle problematiche legate al furto o smarrimento di password sarà sensibilmente ridotto.
Anche gli utenti avranno benefici in termini di produttività. L’accesso ai servizi risulterà estremamente più semplice non richiedendo sforzi mnemonici ma il semplice possesso del proprio smartphone o altro dispositivo hardware.
Svantaggi di una soluzione passwordless
Sicuramente l’adozione di una soluzione passwordless porta vantaggi a livello di gestione delle credenziali di accesso, ma è anche vero che un’Organizzazione che adotta una tecnologia di questo tipo deve considerare anche i seguenti fattori.
Costi di implementazione
Sebbene sia indubbio che l’autenticazione senza password porti a risparmi a lungo termine, i costi di implementazione rappresentano attualmente un ostacolo per molti. Il costo è associato alla necessità di implementare un meccanismo di autenticazione su una directory utente esistente e talvolta all’hardware aggiuntivo da dare in dotazione agli utenti (ad esempio OTP o chiavi di sicurezza).
Formazione e competenza necessarie
Mentre la maggior parte dei sistemi di gestione delle password sono costruiti in modo simile e sono già utilizzati da molti anni, l’autenticazione senza password richiederà una fase di riadattamento che andrà a coinvolgere sia i team IT che gli utenti finali.
Unico punto di errore
In particolare, le implementazioni che utilizzano OTP o notifiche push alle applicazioni mobile possono creare problemi all’utente se un dispositivo viene rotto, smarrito, rubato o anche semplicemente aggiornato o resettato.
Il settore IT
Il mercato e il settore IT si stanno già muovendo, ed è probabile che continueranno a farlo con sempre maggiore insistenza, verso soluzioni passwordless per l’accesso sia a dispositivi hardware che a servizi web.
Infatti, importanti aziende come Microsoft e Apple stanno dotando i propri dispositivi di tecnologie passwordless e cominciano ad affermarsi standard o protocolli che standardizzano l’utilizzo di questa tecnologia, come FIDO e WebAuth.
Autore: