Addio alle password
Minimo 8 caratteri, nessun nome comune e riferimento a informazioni personali note, almeno un numero, un carattere speciale e una lettera maiuscola. Queste le caratteristiche richieste per creare delle password complesse e più sicure. Password che secondo le regole di cybersecurity dovrebbero essere cambiate circa una volta ogni tre o sei mesi e mai ripetute su più servizi per contrastare anche il credential stuffing, cioè l’uso di credenziali rubate su un sito al fine di riuscire a loggarsi in quanti più servizi possibili.
Ma quale è il rischio?
Che la maggior parte delle persone ogni volta che accedono a un account devono cliccare su “recupera password” o ancora, bloccano l’utenza e devono richiedere supporto dall’ufficio IT. Nonostante queste accortezze che rendono sempre più difficile la memorizzazione delle password, le frodi dei dati di accesso a utenze e servizi, è sempre più comune. Secondo quanto riportato dal Consumer Impact report di Identity Theft Resource Center (ITCR) del 2023, più della metà (59%) delle persone utilizza la stessa password per più di un account e di questi il 56% è stato vittima di furto di identità. Il rapporto di quest'anno riflette le risposte di 144 vittime che hanno contattato l'ITRC tra il 1° gennaio e il 31 dicembre 2022.
Che cos’è l’autenticazione passwordless?
In questo contesto si stanno sempre più diffondendo i metodi di autenticazione passwordless (senza password) che si basano su due elementi anche detti chiavi: una pubblica, una privata. La prima è lo username che si indica quando si fa la registrazione, il secondo è il fattore del processo di autenticazione che sta su un dispositivo fisico in possesso dell’utente e comprende diversi metodi. L’autenticazione biometrica si base su l’utilizzo del riconoscimento facciale, delle retine, delle impronte digitali o ancora vocali.
Il metodo OTP (One Time Passwords), invece, prevede l’invio tramite e-mail, SMS, o la generazione tramite Applicazione (App Autenticator), sul dispositivo fisico dell’utente, di una password utilizzabile sono una volta. Anche le notifiche push rappresentano un tipo di autenticazione passwordless: l'app invia una notifica a un dispositivo registrato per aprire l'app e in questo modo si utilizza il dispositivo stesso come fattore per l'autenticazione.
I vantaggi e gli svantaggi dell’utilizzo del passwordless
Primo fra tutti sicuramente il fatto che la compromissione dell’account diventa più complessa perché acquisire la sola informazione del nome utente, non è sufficiente per accedere al dispositivo. Altro aspetto facilmente immaginabile e immediato è che non è più necessario memorizzare le password sempre più complesse e numerose.
Inoltre, l’autenticazione senza password può anche ridurre i costi associati alla gestione delle password e al recupero dell'account da parte del personale dei dipartimenti IT. L’adozione di questo tipo di soluzioni, tuttavia, ha dei costi importanti di implementazione in particolare associato alla necessità di attivare un dispositivo di autenticazione su una directory utente esistente e talvolta all’hardware aggiuntivo da dare in dotazione agli utenti.