Autenticazione basata sulla conoscenza (KBA)

L'autenticazione basata sulla conoscenza (KBA) si riferisce all'utilizzo di fattori di conoscenza per l'autenticazione, ovvero informazioni che presumibilmente solo voi conoscete, come una password o il nome della vostra prima scuola o del vostro animale domestico. Questi sono talvolta noti come segreti condivisi perché la loro sicurezza si basa sul fatto che siano noti solo a voi e alla persona con cui avete condiviso il segreto. 

L'autenticazione basata sulla conoscenza può includere quanto segue: 

  • Password o PIN: Le password e i PIN sono metodi tradizionali di autenticazione e le persone sono generalmente abituate a usarli. Tuttavia, non sono sicuri perché possono essere facilmente indovinati, condivisi o rubati. Una ricerca di iProov mostra che il 75% dei consumatori ha usato la password di qualcun altro per accedere a un servizio online. Inoltre, a causa di violazioni della sicurezza, il 63% dei consumatori ha dovuto cambiare una password. Anche le password non sono facili da usare. Per renderle più sicure, devono diventare più complesse. Questo fattore le rende più difficili da ricordare, il che significa che gli utenti utilizzano costantemente la funzione "Password dimenticata" o trovano soluzioni (come scrivere le password), il che le rende meno sicure. Forrester Research stima che il costo medio di una singola reimpostazione di password effettuata dall'help desk sia di circa 70 dollari, mentre Gartner stima che dal 20% al 50% di tutte le chiamate all'help desk siano destinate alla reimpostazione di password.
  • Domande di sicurezza: All'utente viene chiesto di rispondere a una domanda, come il nome da nubile della madre o il nome del primo animale domestico. Queste informazioni sono talvolta reperibili online, il che significa che spesso non sono sicure. La richiesta di diverse domande di sicurezza può inoltre creare attrito e frustrazione per l'utente. 

L'autenticazione basata sulla conoscenza può essere statica o dinamica. Le conoscenze statiche possono essere, ad esempio, il nome da nubile di vostra madre o il nome del vostro primo animale domestico. I segreti condivisi dinamici si verificano quando una banca vi pone domande sul vostro conto che solo voi dovreste conoscere, ad esempio per indicare l'importo di una specifica transazione che avete effettuato in una certa data. 

I fattori di conoscenza sono vulnerabili al furto se la vittima è indotta a condividerli con un truffatore. Questo può avvenire attraverso un processo chiamato social engineering, in cui un truffatore si maschera da persona autentica o manipola gli utenti per far loro rivelare i segreti condivisi.

Inoltre, il problema dei segreti condivisi, sia statici che dinamici, è che gli utenti possono dimenticarli nel tempo o non conoscerne le risposte. Questo crea un forte attrito durante il processo di autenticazione e può portare gli utenti ad abbandonarlo del tutto o a ricorrere a processi manuali costosi e/o dispendiosi in termini di tempo.

Se viene utilizzata, l'autenticazione basata sulla conoscenza è meglio combinata con altri metodi di autenticazione più sicuri, come la tecnologia di verifica biometrica del volto di iProov, nell'ambito di una strategia di autenticazione a più fattori o di autenticazione graduale.

Per saperne di più sull'autenticazione basata sulla conoscenza

Articolo: I rischi delle password

Articolo: Quali sono i vantaggi della biometria facciale?

Articolo: Qual è il miglior metodo di autenticazione?