Le persone hanno una storia antica nell'utilizzo delle password. Ripercorriamo lo sviluppo delle password e delle tecnologie di autenticazione (2FA, MFA, OTP, U2F, FIDO2). Inoltre, puoi trovare il nostro manuale su come diventare senza password nel 2020.
Contenuti
L’Ascesa (e la Caduta?) delle Password
L’Ascesa (e la Caduta?) delle Password
Le persone hanno una lunga storia nell'utilizzo delle password. Dalla battaglia tra le tribù di Gilead ed Efraim descritta nel capitolo 12 del Libro dei Giudici, esse venivano usate per autenticare alleati e individuare nemici. L’esercito successivamente evolse questo processo utilizzando una password e una contro-password come modello di sfida-risposta.
Oltre a limitare l’accesso fisico, le password venivano usate per mantenere segrete comunicazioni o informazioni. Non sorprende che siano diventate parte essenziale dei computer fin dagli inizi. Il primo accesso con password in un sistema informatico fu implementato nel 1961.
Tuttavia, il primo hack di una password avvenne solo un anno dopo. Nel 1962, a causa di un bug del software, un elenco di utenti e password appariva a chiunque accedesse al sistema. Ops.
Nonostante continui furti e violazioni, le password sono ovunque – PC, telefoni, siti web, app, giochi, banche, ecc. E la gente continua a cercare modi per rendere l’autenticazione più sicura.
Autenticazione 101
Oggi esistono moltissimi metodi di autenticazione. Vediamo i più comuni:
- Autenticazione a Fattore Singolo è la forma più semplice e diffusa. Per accedere a un servizio è richiesto un solo metodo, come password, PIN, carta PIV, ecc. Tuttavia, questa semplicità non garantisce un adeguato livello di sicurezza, poiché i truffatori possono facilmente indovinare o rubare le credenziali.
- Autenticazione a Due Fattori è generalmente raccomandata per proteggere gli account. La ricerca mostra che può prevenire l'80% delle violazioni. Aggiunge un secondo livello di verifica, come un PIN, una password temporanea (OTP), un token hardware, ecc. Svantaggio: richiede un passaggio aggiuntivo.
- Autenticazione a Più Fattori è il metodo più sofisticato, che richiede due o più fattori indipendenti. Solitamente, MFA utilizza:
- Qualcosa che conosci – password, PIN, domanda di sicurezza;
- Qualcosa che possiedi – token fisico come Hideez Key, cellulare, smart card;
- Qualcosa che sei – impronta digitale, FaceID, scansione dell’iride;
- Qualcosa che fai – velocità di digitazione, posizione, ecc.
Oltre al numero di fattori, esistono numerose tecnologie e protocolli di autenticazione sul mercato.
Il modo più semplice per gestire le credenziali personali è registrarle. Poiché i diari non sono sicuri, sono stati introdotti i vault delle password. Esistono molte soluzioni – gratuite o in abbonamento – con archiviazione crittografata su cloud o dispositivi locali. Ma non semplificano né rendono più sicuro il processo di autenticazione.
Per eliminare le password multiple, è stato creato il Single Sign-On (SSO), una delle soluzioni aziendali più comuni. Permette di usare un solo set di credenziali per accedere a più servizi e applicazioni. Riduce i tempi per i dipendenti e il carico di lavoro per l’IT. Inoltre, riduce i rischi legati alle password multiple.
Poiché l’autenticazione a singolo fattore è generalmente evitata, le password temporanee (OTP) sono diventate lo standard per la 2FA nei servizi sensibili come le banche online. Una OTP è solitamente una stringa numerica valida per una singola sessione o transazione. Le modalità di generazione includono:
- Sincronizzazione temporale tra server di autenticazione e client. L’OTP è valida solo per un breve periodo.
- Algoritmo matematico che genera una nuova password basata sulla precedente, formando una catena.
- Algoritmo matematico basato su una sfida, come un numero casuale generato dal server.
Per rafforzare e semplificare la 2FA, è stato creato il protocollo U2F (Universal Second Factor). Collega un dispositivo Bluetooth, USB o NFC con un servizio online ed esegue un’autenticazione challenge-response con crittografia a chiave pubblica. L’utente preme un pulsante o tocca il dispositivo. Essendo legato a un oggetto fisico, è resistente agli attacchi.
Un Nuovo Approccio
Tutti questi metodi sono utili, ma spesso compromettono la semplicità. Quindi: "Possiamo proteggere i dati senza alcuna password?".
Un gruppo di appassionati ha risposto "Sì" e ha sviluppato il framework FIDO2.
Sostituisce del tutto le password con credenziali che non possono essere rubate.
FIDO2 include lo standard W3C Web Authentication e il protocollo CTAP. Insieme creano un processo in cui un autenticatore crittografico controllato dall’utente comunica con un server FIDO2 tramite browser.
Durante la registrazione viene generata una coppia di chiavi. La chiave privata resta sul dispositivo; quella pubblica viene salvata nel server. Durante l’accesso, la chiave pubblica viene verificata con la chiave privata, sbloccata dall’azione dell’utente.
Tanto avviene dietro le quinte, ma l’utente deve solo premere un tasto o fare una scansione. L’unico limite? Non è ancora ampiamente supportato.
Ritorno alla Realtà
Un approccio completamente senza password è irrealistico: troppi sistemi, piattaforme e servizi. Non esiste una soluzione universale. Ma possiamo imitare l’efficienza di sistemi complessi avviati da un semplice gesto.
È simile al funzionamento delle reti cellulari. Il telefono cerca un segnale e comunica un identificatore unico alla stazione base. Lo scambio continua secondo protocolli analogici o digitali.
L’utente medio non sa nulla di tutto ciò. Ha solo acceso il telefono.
La Rivoluzione
E se ti dicessimo che questa esperienza esiste già? Esatto! Puoi vivere l’esperienza ‘senza password’ per siti web, app e file protetti. Con Hideez.
Hideez Enterprise Solution e Hideez Key per utenti individuali gestiscono tutto in background, senza che tu debba pensare alle password.
- Passaggio 1. Hideez funziona come vault delle password memorizzando e proteggendo fino a 2.000 password con più livelli di crittografia.
- Passaggio 2. Hideez inserisce le credenziali in pochi secondi. Modalità disponibili: a) premi un tasto sulla Hideez Key; b) usa una combinazione di tasti. Voilà!
- Bonus: non dovrai più preoccuparti del phishing. Hideez non esporrà mai le credenziali a siti/app falsi.
- Passaggio 3. Usa Hideez per bloccare e sbloccare il PC. Opzioni: a) prossimità – avvicinati o allontanati dal PC; b) tocco – tocca il dongle Bluetooth; c) RFID – sblocca con un lettore RFID.
- Passaggio 4. Hideez Enterprise consente agli admin di aggiornare le password dei dipendenti sul server, senza che gli utenti se ne accorgano e senza intasare l’IT con richieste di reset.
- Passaggio 5. Seguendo le migliori pratiche e raccomandazioni NIST, Hideez fornisce 2FA con generatore integrato di OTP.
Questo era il nostro breve manuale per ottenere un'esperienza senza password nel 2020.
Una chiave. Un pulsante. Infinite personalizzazioni. Tutte le tue credenziali sono al sicuro e l’autenticazione funziona in background.
Se non vedi l’ora di provare Hideez, compila il modulo qui sotto. Inserisci il codice "Passwordless" per ricevere un’offerta speciale come ringraziamento per aver letto tutto questo :)