Le persone hanno una lunga storia di utilizzo delle passwordRicapitoliamo lo sviluppo delle password e delle tecnologie di autenticazione (2FA, MFA, OTP, U2F, FIDO2)Inoltre, puoi trovare il nostro manuale su come diventare senza password nel 2020
Contenuti
L'ascesa (e la caduta?) delle password
L'ascesa (e il declino?) delle password
Le persone hanno una lunga storia di utilizzo delle passwordDalla battaglia tra le tribù di Galaad ed Efraim descritta nel 12° capitolo del biblico Libro dei Giudici, furono usati per autenticare alleati e rilevare nemiciSuccessivamente i militari hanno evoluto il processo utilizzando una password e una contropassword che funzionavano come un modello di sfida-risposta
Oltre a limitare l'accesso fisico, le password venivano utilizzate per mantenere segreta una comunicazione o alcune informazioniNon c'è da stupirsi che le password siano diventate una parte essenziale dei computer nei primi giorni dello sviluppo dei computerIl primo login con password in un sistema informatico è stato implementato nel 1961
Tuttavia, la prima violazione della password del computer è avvenuta solo un anno dopo la loro introduzioneNel 1962 a causa di un bug del software, un elenco di utenti e le loro password salutavano tutti coloro che si collegavano al sistemaOps
Nonostante i continui attacchi e fughe di notizie, le password ora sono ovunque - PC, telefoni, siti web, app, giochi, operazioni bancarie e così viaE le persone sono state implacabili nel trovare un modo per rendere l'autenticazione più sicura
Autenticazione 101
Al giorno d'oggi, esiste una pletora di metodi di autenticazioneRipercorriamo gli approcci più comuni:
- Autenticazione a fattore singolo è la forma di autenticazione più semplice e più comunePer accedere a un servizio o sistema è necessario fornire un solo metodo di autenticazione, come password, PIN, tessera PIV, ecc.Questo tipo di semplicità non garantisce un adeguato livello di sicurezza perché, nella maggior parte dei casi, i truffatori possono facilmente indovinare o rubare le credenziali
- 2nd Factor Authentication è una raccomandazione generale per la protezione dell'accountLa ricerca ha rilevato che 2FA può prevenire l'80% delle violazioni dei datiAggiunge un altro livello di verifica che richiede un PIN, una password monouso, un token hardware, eccsopra la parola d'ordineIl rovescio della medaglia: la 2FA richiede un ulteriore passaggio, il che significa più tempo e sforzo cognitivo
- Autenticazione a più fattori è il metodo più sofisticato che richiede che due o più fattori indipendenti vengano forniti da un utenteDi solito, MFA sfrutta due o tre elementi dall'elenco:
- Qualcosa che conosci – una password, PIN, domanda di sicurezza;
- Qualcosa che hai – un token hardware come Hideez Key, cellulare, smart card;
- Qualcosa che sei – impronta digitale, FaceID, scansione dell'iride;
- Qualcosa che fai – velocità di battitura, informazioni sulla posizione e così via
Oltre al numero di fattori, sul mercato esistono molteplici tecnologie e protocolli di autenticazione
Il modo più semplice per gestire le credenziali personali è registrarlePoiché i diari non sono così sicuri, sono stati introdotti valute delle password Sono disponibili più prodotti – gratuiti o in abbonamento con archiviazione crittografata su cloud o dispositivo localeI gestori di password e i depositi sono ottimi per ricordare le password, ma non semplificano né proteggono il processo di autenticazione
Per eliminare più password, gli sviluppatori hanno inventato Single Sign-On (SSO)Ora è una delle soluzioni aziendali più comuni che consente di utilizzare un set di credenziali per accedere a più servizi e applicazioniI dipendenti risparmiano tempo nell'inserimento delle password e un amministratore IT ottiene un maggiore controllo sull'accesso ai servizi aziendali e meno richieste relative alle passwordSSO può ridurre il rischio di un attacco informatico riuscito riducendo il numero di credenziali a rischio
Poiché l'uso dell'autenticazione a fattore singolo è generalmente disapprovato negli ambienti di sicurezza, Le One Time Password (OTP) sono diventate una 2FA standard per i servizi contenenti informazioni sensibili, come l'online banking, i portali medici, eccDi solito, OTP è una stringa di numeri valida per una sessione o transazionePoiché OTP modifica dinamicamente la sequenza esatta, questo metodo di autenticazione non è vulnerabile agli attacchi di riproduzioneEsistono diversi metodi di generazione di OTP:
- Sincronizzazione dell'ora tra il server di autenticazione e il client che fornisce la password, il che significa che le OTP sono valide solo per un breve periodo di tempo
- Algoritmo matematico che genera una nuova password basata sulla precedente, formando una catena
- Un algoritmo matematico che forma una nuova password basata su una verifica (ad esempio, un numero casuale scelto dal server di autenticazione o i dettagli della transazione)
Per rafforzare e semplificare la 2FA, gli sviluppatori hanno creato un protocollo U2F (Universal Second Factor)Connette un dispositivo Bluetooth, USB o NFC con un servizio online ed esegue un'autenticazione challenge-response utilizzando metodi di crittografia a chiave pubblica e una chiave dispositivo univocaDal lato utente, è semplice come premere un pulsante sul dispositivo o toccare NFCPoiché U2F richiede un dispositivo fisico per l'autenticazione, è resistente agli attacchi e protegge anche le password semplificate
Un nuovo approccio
Tutti questi metodi sembrano ottimi e forniscono una maggiore sicurezza per i tuoi datiMa sulla strada della sicurezza, compromettiamo costantemente l'usabilitàQuindi ecco un pensiero: "Possiamo proteggere i nostri dati senza alcuna password?"
Un gruppo di appassionati ha detto "Sì" e ha sviluppato il framework FIDO2
Sostituisce del tutto le password con un nuovo tipo di credenziali che non possono essere rubate
FIDO2 è costituito dallo standard W3C Web Authentication (WebAuthn) e dal protocollo FIDO Client to Authenticator (CTAP)Insieme creano un processo in cui un autenticatore crittografico controllato dall'utente si connette con un WebAuthn Relying Party (un server FIDO2) tramite un agente utente Web (un browser)
Durante la registrazione, viene generata una coppia di chiavi private e pubblicheLa chiave privata è memorizzata sul dispositivo, mentre il server FIDO2 registra la chiave pubblica in un databaseDurante l'autenticazione, la chiave pubblica viene immessa per il servizio Web e viene verificata con la chiave privata sbloccata dall'azione di un utente
Succede molto in background, ma un utente deve solo premere il pulsante, scansionare un'impronta digitale o eseguire un'altra azione di autenticazioneL'unico aspetto negativo del framework FIDO2 è che non è ancora ampiamente supportato
Ritorno alla realtà
Il vero approccio senza password è irrealizzabile nel mondo reale perché abbiamo troppi sistemi, piattaforme e serviziNon esiste un proiettile d'argento che possa soddisfare tutti i requisiti, essere sicuro e sempliceÈ come il paradosso buono-veloce-economicoQuello che possiamo fare è prendere un'idea di base del complicato lavoro in background che viene avviato da una semplice azione
È simile al modo in cui operano le reti cellulariUna volta acceso, un telefono inizia a cercare un segnale dalle stazioni ricetrasmittenti basePer stabilire una connessione, il tuo telefono invia il suo identificatore univoco alla stazioneMantengono il contatto con uno scambio periodico di pacchetti secondo un protocollo analogico (AMPS, NAMPS, NMT-450) o digitale (DAMPS, CDMA, GSM, UMTS)
Un proprietario medio di telefono non ha idea di come funzioniHa appena acceso il telefono
Il punto di svolta
E se ti dicessi che esiste già un'esperienza così fluida? Sì, hai capito benePuoi goderti un'esperienza "senza password" per i tuoi siti Web, app e persino file protetti con una semplice soluzioneHidez
Hideez Enterprise Solution e Hideez Key for Individuals gestiscono tutte le attività relative all'autenticazione in background, senza che tu debba nemmeno pensare alle password
- Passaggio 1Hideez funziona come deposito di password ricordando tutte le tue password (circa 2000!) e tenendole al sicuro con diversi livelli di crittografia
- Passaggio 2Hideez inserisce le tue credenziali in pochi secondiEsistono diverse modalità che puoi utilizzare: a) premi il pulsante su Hideez Key e b) utilizza i tasti di scelta rapida personalizzatiVoilà!
-
Bonus: non devi preoccuparti di phishing attacchi mai piùHideez non esporrà le tue credenziali a un sito Web o un'app falsi
- Passaggio 3Puoi utilizzare la soluzione Hideez per bloccare e sbloccare il tuo PCAncora una volta, sono disponibili diverse opzioni: a) prossimità: avvicinati al tuo PC o allontanati; b) tocco: tocca il nostro dongle Bluetooth per sbloccare e premi il pulsante per bloccare il PC; c) RFID: sblocca il tuo PC utilizzando un lettore RFID
- Passaggio 4Hideez Enterprise Solution consente agli amministratori di aggiornare le password dei dipendenti sul server, quindi gli utenti finali non sapranno nemmeno che qualcosa è cambiato e un reparto IT dell'azienda non si occuperà di più richieste per reimpostare le password appena create
- Passaggio 5Seguendo le migliori pratiche di sicurezza informatica e le raccomandazioni del NIST, Hideez fornisce 2FA con un OTP integrato generatore
Questo era il nostro breve manuale su come ottenere un'esperienza fluida senza password nel 2020
Una chiaveUn pulsanteMolteplici personalizzazioniTutte le tue credenziali sono al sicuro e l'autenticazione funziona in background
Se non vedi l'ora di testare Hideez di persona, compila il modulo sottostanteAggiungi un codice "Passwordless" per ottenere un'offerta speciale come ringraziamento per aver terminato questa lunga lettura :)