Liberiamoci delle password! È questa la chiave della sicurezza secondo il report Passwordless Authentication The next breakthrough in secure digital transformation presentato al World Economic Forum e realizzato in collaborazione con FIDO Alliance. Si stima che il crimine informatico costerà all’economia globale 2,9 milioni di dollari ogni minuto nel 2020 e circa l’80% di questi attacchi si deve a password troppo deboli, o rubate. I sistemi di autenticazione basati su pin, password, passphrase o qualsiasi elemento da ricordare, non solo provocano forti mal di testa agli utenti, ma sono costosi da mantenere. Per le grandi aziende si calcola che quasi il 50% dei costi dell’help desk IT siano dovuti a reimpostazioni di password, con una spesa media annua che supera il milione di dollari.
Un modello di autenticazione privo di password non consiste, ovviamente, nel rimuovere tutte le barriere di Cyber Security. Significa invece sfruttare strumenti come l’intelligenza artificiale e il machine learning per far risparmiare tempo agli utenti e denaro alle aziende.
I consumatori richiedono inoltre un’esperienza digitale migliore, più veloce, unita a una maggiore sicurezza. Migliori pratiche di autenticazione non sono quindi soltanto possibili oggi, ma sono una necessità. La strada da percorrere punta verso un’autenticazione basata su standard, con sistemi crittografici sicuri, per mantenere le informazioni di login sicure e private, fornendo al contempo un’esperienza utente semplice.
Sono cinque le principali tecnologie di autenticazione senza password, pronte per essere implementate dalle aziende internazionali: biometria, One time password, Qr code, Biometria comportamentale (analisi dei comportamenti ricorrenti) e prove “zero-knowledge”.
Biometria
I recenti progressi tecnologici degli smartphone si traducono in fotocamere e modelli di machine learning per il riconoscimento facciale e scansione dei documenti sempre più performanti. Ora possono essere utilizzati per riconoscere le persone da remoto e su larga scala. A breve, quando un utente creerà un nuovo account online, scatterà una foto del proprio volto e dei propri documenti e l’applicazione confronterà le immagini automaticamente senza bisogno di password.
Chiavi hardware
Secondo una sperimentazione di Google, l’uso di dispositivi hardware, ad esempio una chiavetta USB che può essere agganciata al portachiavi, fornisce un buon compromesso fra usabilità e per l’utente e facilità di implementazione. Le alternative sono soluzioni NFC o Bluetooth o incorporate nello smartphone: tutte hanno in comune il fatto che l’oggetto fisico debba essere presente nel momento del login.
Qr code
È possibile utilizzare codici Qr animati complessi per autenticarsi senza password. Gli utenti si possono logare inquadrando un Qr code con uno smartphone per provare la propria identità. Arriverà quindi un messaggio di conferma su una apposita app che proverà l’avvenuto accesso. Dal momento che il codice è animato, unico e ha una durata molto breve, fornisce un metodo sicuro.
Analisi del comportamento
Il riconoscimento dell’utente sulla base dei suoi comportamenti offre opzioni di autenticazione accurate quando accompagnata a un login di primo livello. Un esempio è l’acquisizione di un profilo sulla base della modalità di digitazione dei tasti tipico dell’utente, un metodo che non influisce sull’esperienza dell’utente.
Prove “zero-knowledge”
Una soluzione zero-knowledge proves (ZKP) per la gestione delle password prevede un algoritmo di riconoscimento delle password senza che queste password vengano mai digitate. In pratica, si forniscono in modo astratto una serie di informazioni che portano a identificarle: come se venissero fornite le istruzioni per far in modo che una faccia di un cubo di Rubrik componga un determinato pattern, con una probabilità sufficiente.