Stanchi di ricordare più parole che hai creato sei mesi fa con almeno 8 caratteri, una lettera maiuscola, un numero e un carattere speciale? Il passaggio all’autenticazione senza password si sta avvicinando.
In occasione della Giornata mondiale delle password (5 maggio), esperti di sicurezza e aziende tecnologiche hanno colto l’occasione per aggiornare il settore sulle iniziative che stanno intraprendendo per creare un futuro che ci protegga senza bisogno di password.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Il problema con le password
Le password riutilizzate sono state il principale vettore di attacchi informatici negli ultimi anni, secondo il rapporto annuale sull’esposizione dell’identità di SpyCloud del 2022. Il rapporto rileva anche un tasso di riutilizzo delle password del 64% per gli utenti con più di una password nell’ultimo anno.
Ma come fai a ricordare tutte quelle password? La ricerca NordPass per il 2021 mostra che la password più popolare per quell’anno era “123456” e la quinta password più popolare era “password”.
È chiaro che qualcosa si è rotto nel mondo delle password, e lo è da molto tempo. E mentre l’autenticazione a più fattori ha fornito un ulteriore livello di sicurezza per le organizzazioni, è anche un aumento di velocità per la produttività , costringendo i lavoratori a interrompere ciò che stanno facendo per digitare un codice o fornire un’impronta digitale. Più scomode sono le misure di sicurezza, più è probabile che gli utenti cercheranno un modo per aggirarle. Ad esempio, gli utenti riutilizzano le password.
Il passaggio al dump delle password
“Eliminare del tutto le password una volta sembrava un’idea audace”, afferma Greg Stuecklin, VP e GM del Nord America presso WSO2, che produce un server di identità , tra le altre soluzioni. “Non è più così, soprattutto se si considera il rapporto sulle indagini sulla violazione dei dati del 2021 di Verizon. Ha osservato che le vulnerabilità con le credenziali, come un nome utente e una password, rappresentavano oltre l’84% di tutte le violazioni dei dati”.
Stuecklin afferma che esistono modi più semplici ed efficaci per autenticare gli utenti, comprese alternative di accesso come lo standard Fast ID Online 2.0 (FIDO2) o dati biometrici, chiavi di sicurezza e autenticatori di plug-in.
Mark Ruchie, CISO di Entrust, una società di sicurezza digitale e protezione dei dati, afferma che i token push mobili, le credenziali basate su certificati e diverse forme di dati biometrici possono creare un’esperienza dei dipendenti più fluida e un’infrastruttura di sicurezza più semplice e più forte con un attacco più piccolo superficie per una vasta gamma di minacce.
“Con gli attacchi informatici che stanno diventando sempre più sofisticati e i nuovi talenti tecnologici sempre più rari, le aziende si stanno rendendo conto che le password non solo creano grattacapi ai dipartimenti IT, ma anche ai dipendenti. Sono la rovina della vita di ogni CISO”, afferma Ruchie.
Intermezzo promozionale ... continua la lettura dopo il box:
Apple, Google, Microsoft : il supporto FIDO
In onore della Giornata mondiale della password, questa settimana un trio di giganti della tecnologia ha promesso un maggiore supporto per FIDO. Apple, Google e Microsoft hanno annunciato di accelerare la disponibilità degli accessi senza password, secondo una dichiarazione rilasciata da FIDO Alliance. Questi tre giganti della tecnologia supportano già gli standard dell’Alleanza, ma l’annuncio di questa settimana aggiunge due nuove funzionalità : consentire agli utenti di accedere automaticamente alle proprie credenziali di accesso FIDO o “passkey” sui dispositivi senza dover registrare nuovamente ogni account e consentire agli utenti di utilizzare Autenticazione FIDO sui propri dispositivi mobili per accedere a un’app o a un sito Web su un dispositivo vicino, indipendentemente dalla piattaforma del sistema operativo o dal browser in uso. Le nuove funzionalità saranno disponibili su piattaforme Apple, Google e Microsoft nel corso del prossimo anno.
Sampath Srinivas, direttore dell’autenticazione sicura di Google PM, ha dichiarato in un post sul blog di Google che la società implementerà il supporto senza password per gli standard di accesso FIDO in Android e Chrome.
Nel suo sito Microsoft Tech Community, Alex Simons, vicepresidente della gestione dei prodotti per la divisione Identity and Network Access, ha scritto che l’azienda sta introducendo diverse nuove funzionalità tra cui passwordless per Windows 365, Azure Virtual Desktop e Virtual Desktop Infrastructure. Queste funzionalità sono attualmente in anteprima con gli addetti ai lavori di Windows 11, secondo Simons.
Windows Hello for Business Cloud Trust è un nuovo modello di distribuzione in grado di rimuovere i requisiti precedenti per l’infrastruttura a chiave pubblica e la sincronizzazione delle chiavi pubbliche tra Azure Active Directory e i controller di dominio locali. Microsoft Authenticator ora consentirà più account invece di uno solo, a partire da fine mese su dispositivi iOS e Android seguirà . Inoltre, Microsoft aggiungerà un pass di accesso temporaneo in Azure AD a partire dal mese prossimo. Questo è un codice di accesso limitato nel tempo.
Fonte : https://www.informationweek.com/
