- 25/01/2022
In generale tendiamo a scegliere password corte e facili da ricordare (ma anche facili da indovinare) e, siccome le utilizziamo per una miriade di siti web ed account online, sovente riutilizziamo le stesse per siti diversi; semplicemente non è possibile ricordare password diverse e molto complicate. I password managers, che aiutano a crearne e gestirne di uniche, lunghe e complesse, sono una buona soluzione per migliorare la sicurezza. In ogni caso questi strumenti sono conosciuti solo da chi tra noi è esperto di tecnologia, lasciando il resto vulnerabile all’insicurezza.
Rischi e costi elevati
Storicamente le password hanno costituito lo standard per rendere sicuri gli account online ma stanno rapidamente diventando obsolete e antiquate per due ovvi motivi.
In primo luogo, senza livelli di sicurezza aggiuntivi, se qualcuno indovina la password può accedere a tutti i vostri dati personali, si pensi che più del 60% delle violazioni sono il risultato di password compromesse, come riportato nel report 2021 Data Breach Investigations prodotto da Verizon.
Una soluzione può essere quella di impiegare l’autenticazione a fattori multipli, la quale riduce significativamente i rischi. Quando gli utenti utilizzano le stesse password, i rischi di violazione aumentano e nel caso in cui i criminali informatici riescano ad accedere ad un account, possono utilizzare le password ed i dati personali per accedere ad altri.
Siti come HavelBeenPwned hanno focalizzato la consapevolezza su come spesso gli stessi account sono esposti ripetutamente e sovente con le stesse password, mettendo le vittime in pericolo di avere i loro account compromessi.
L’alto rischio di sicurezza legato all’utilizzo delle password ed il conseguente costo sempre più elevato per la sicurezza informatica è un aspetto da tenere in considerazione. Ci sono però altri costi che si aggiungono, per esempio il servizio clienti.
Nonostante il processo di reset della password sia offerto digitalmente con un servizio fai-da-te, molti utenti preferiscono ancora avvalersi del supporto telefonico. Le ricerche di Futurae, condotte su oltre 100 banche in tutto il mondo negli ultimi 4 anni, dimostrano infatti che circa il 40-45% delle chiamate al centro assistenza dei provider di servizi finanziari riguardano problemi inerenti il reset delle password.
Il costo per le risorse nel gestire queste chiamate può superare le centinaia di migliaia di euro all’anno. Secondo Gartner, una chiamata di circa 5 minuti ad un centro asistenza costa in media 25 euro. Così, 20,000 chiamate all’anno equivalgono a ben mezzo milione di euro che un grande fornitore di servizi finanziari deve coprire.
Il futuro è passwordless!
Al giorno d’oggi esistono sul mercato soluzioni di autenticazione che rimuovono le password dall’equazione e cercano di autenticare gli utenti con altri mezzi.
Questo processo si chiama autenticazione senza password, o passwordless.
Ma come funziona esattamente? In generale comincia con l’utente che inserisce il proprio username (oppure può essere un bottone che indirizza l’utente ad effettuare il login con le credenziali usate in precedenza). Dopo di che esistono alcuni modi attraverso i quali l’autenticazione senza password viene implementata. Qui di seguito alcuni esempi:
- Ricevere una mail con un link segreto che l’utente può aprire per effettuare il login;
- Ricevere un SMS contenente un codice ad uso singolo che l’utente deve inserire nella pagina di login per autenticarsi con successo;
- Ricevere una notifica push ed approvare il login tramite un’app mobile (a volte vengono chiamate app autenticatrici o fidate) in funzione sul telefono dell’utente oppure, in alternativa, scannerizzare un codice QR, il quale richiede all’utente di approvare quel login specifico. L’app autenticatrice è stata precedentemente associata con l’account e funge da ancora fidata che può essere utilizzata per il login da altri dispositivi, applicazioni o browser. Nel caso in cui il telefono dell’utente sia dotato di autenticazione biometrica (per esempio su dispositivi iOS la lettura di impronte digitali tramite Touch ID o riconoscimento facciale tramite Face ID), l’app autenticatrice può richiedere un passo aggiuntivo utilizzando per poter approvare il login.
L’autenticazione senza password è sicura?
Dipende dal metodo utilizzato e da chi è la persona dietro l’attacco informatico. I metodi basati sull’autenticazione tramite email dipendono dalla sicurezza dell’account email il quale spesso si affida anch'esso a password. In questo caso abilitare la 2FA per il vostro account email aiuta senza dubbio ad aumentare la sicurezza.
L’autenticazione tramite SMS è legata alla sicurezza dei messaggi SMS, che è dimostrato siano vulnerabili alle intercettazioni (l’attacco fa leva sui punti deboli della rete telefonica per intercettare gli SMS) e da attacchi per mezzo di sostituzione della SIM (tramite tecniche di social engineering gli aggressori ottengono l’accesso alla SIM attivata con il vostro numero di telefono in modo da poter ricevere gli SMS a voi destinati).
Possibilmente, l’approvazione del login tramite app autenticatrice è una delle varianti che offrono la maggiore sicurezza la quale, combinata con fattori biometrici già esistenti sul dispositivo (oppure in loro assenza con almeno un PIN), offre un’esperienza di 2FA senza password.
Un criminale informatico che voglia fare il login al posto vostro dovrebbe avere accesso al vostro telefono (il primo fattore ovvero qualcosa in vostro possesso) ed aggirare l’autenticazione biometrica del vostro telefono (il secondo fattore ovvero qualcosa che dimostra la vostra persona fisica). Ma fate attenzione! Assicuratevi di approvare solo tentativi di login che sono stati iniziati effettivamente da voi stessi.
In breve non approvate automaticamente qualsiasi richiesta di login che arrivi tramite la vostra app perché potreste inconsapevolmente approvare il tentativo del vostro aggressore.
Cogliere due piccioni con una fava
L’utilizzo delle password per il login nelle piattaforme dei clienti rimane comunque una fonte di frizione e frustrazione per gli utenti. Ricordare e gestire le password è un’operazione tediosa che disturba l’esperienza dell’utente, spesso comporta un costo per l’organizzazione tra centri assistenza e servizi di supporto.
Nei casi in cui i clienti diventino più esigenti in termini di sicurezza e user experience (UX) senza soluzione di continuità, adottare la strada passwordless permette di conciliare entrambe le richieste.
Il risultato principale dell’eliminazione delle password è quindi quello di migliorare sia la UX che la sicurezza.