12 febbraio 2023
Dovete accedere a uno dei vostri account online: è il momento di dimostrare che siete chi dite di essere. Al livello più alto, si incontrano due opzioni:
- Autenticazione basata sulla conoscenza. Di solito si tratta di una password. È un'opzione familiare, ma spesso causa problemi sia per gli utenti che per le organizzazioni. Ad esempio, nelle ultime 24 ore il 32% degli utenti ha dovuto richiedere un promemoria per la password. Le password dimenticate sono un problema enorme che causa costi amministrativi significativi e perdita di attività.
- Autenticazione senza password. Può trattarsi di un codice di accesso unico (OTP) via SMS, di un'autenticazione tramite impronta digitale o di qualsiasi altro metodo di autenticazione che non richieda una password. Con la biometria facciale di iProov, ad esempio, un utente può autenticarsi semplicemente guardando il proprio dispositivo per accedere al proprio account.
Negli ultimi anni, le organizzazioni si sono allontanate dalle password e si sono orientate verso opzioni senza password, perché l'autenticazione basata su password è in genere macchinosa, costosa e insicura.
Esistono diverse opzioni senza password, ma non tutte sono uguali: alcune offrono un'esperienza utente, una sicurezza e un'inclusività migliori di altre.
[lwptoc]Che cos'è l'autenticazione senza password?
L'autenticazione senza password è il processo di autenticazione dell'accesso dell'utente a un account, un software o un servizio online senza richiedere una password basata sulla conoscenza.
Per consentire l'accesso sicuro degli utenti senza password si possono utilizzare diverse tecnologie, come ad esempio:
- Autenticazione biometrica (ad es. volto, voce o impronta digitale)
- Autenticazione SMS OTP
- Autenticazione via e-mail con un solo link
- Un'applicazione autenticatore
- Autenticazione basata su hardware (es. Yubikey)
- Verifica delle videochiamate
Perché le organizzazioni scelgono l'autenticazione senza password?
L'autenticazione senza password è vantaggiosa perché spesso può rafforzare la sicurezza. Le vulnerabilità delle password sono ben note e possono essere violate in molti modi; inoltre, le pratiche di gestione delle password sono spesso rischiose.
Pertanto, le opzioni senza password sono progettate per rafforzare la sicurezza e ridurre il numero di modi in cui i sistemi possono essere attaccati. Una buona soluzione senza password può anche rendere il processo di autenticazione più conveniente per gli utenti rispetto alle password, perché queste ultime si perdono, si dimenticano e si violano facilmente, con conseguenti lunghi processi di recupero.
Oggi le organizzazioni scelgono comunemente di implementare l'autenticazione a due o più fattori per stabilire una maggiore fiducia online in condizioni ostili e limitare le frodi attraverso un'autenticazione più forte. Ciò significa che le organizzazioni non devono eliminare del tutto le password, se non vogliono, ma possono combinarle con un altro fattore, come la verifica biometrica del volto.
Ma ricordate: i vantaggi specifici del passaggio alla password dipendono dalla soluzione adottata. È importante trovare un equilibrio tra sicurezza ed esperienza utente.
Il passato e il futuro dell'autenticazione senza password
Agli albori di Internet, le organizzazioni si affidavano esclusivamente a un ID utente e a una password per verificare un cliente. Con l'aumento dei passaggi di denaro online, i truffatori hanno iniziato ad approfittarne.
I truffatori hanno avuto successo: è sorprendente che l'80% delle violazioni legate all'hacking riguardi credenziali di password compromesse e deboli. Le password indeboliscono intrinsecamente l'integrità del processo di sicurezza ed espongono l'individuo o il servizio al rischio. Ciò comporta rischi per la sicurezza dell'intera società, sia per gli utenti che per le organizzazioni.
Nel corso del tempo, gli attacchi che i malintenzionati utilizzano per minare le password sono diventati più sofisticati e scalabili. Essi includono, ma non si limitano a:
- Phishing
- Keylogging
- Attacchi di forza bruta
- Attacchi Man-in-the-middle.
Così, sono nati nuovi metodi di autenticazione dei clienti per contrastare gli svantaggi delle password. Alcuni sono rimasti, altri sono scomparsi. Un metodo che è rimasto è l'autenticazione biometrica, anche perché può offrire un accesso sicuro in pochi secondi senza che l'utente debba ricordare nulla.
Nel 2023, iProov prevede che la biometria combinata con il dispositivo supererà la password combinata con il dispositivo come soluzione di autenticazione a due fattori, il che significa che potremmo finalmente assistere alla fine delle password, anche come parte di soluzioni di autenticazione a due o più fattori.
Come funziona l'autenticazione senza password?
L'autenticazione senza password si divide generalmente in due categorie:
1. Basato sul possesso
I fattori basati sul possesso, come gli OTP, sono talvolta definiti "qualcosa che si possiede". Tentano di autenticare gli utenti attraverso il possesso di un dispositivo. Ad esempio, se l'utente è in grado di recuperare e incollare un OTP, dovrebbe dimostrare di essere la persona che possiede il dispositivo associato a quel numero di telefono e di cui ha accesso esclusivo, provando così la sua identità.
Uno dei problemi dell'autenticazione basata sul possesso è che si affida ai dispositivi piuttosto che alle persone. I codici sono condivisibili e falsificabili, il che significa che non sono una rappresentazione chiara dell'identità di una persona.
2. Basato sull'inerenza:
I fattori basati sull'inerenza, ovvero la biometria, sono talvolta definiti "qualcosa che sei". Tentano di autenticare gli utenti affermando una caratteristica biologica/fisica. Ad esempio, la scansione del viso tramite la fotocamera di un dispositivo o la pressione del dito sul pad di scansione delle impronte digitali di un dispositivo.
Il terzo fattore di autenticazione è quello basato sulla conoscenza. Per autenticazione basata sulla conoscenza si intendono solitamente le password, ma possono anche essere risposte segrete, come il nome del proprio animale domestico o il nome da nubile della madre (anche se le risposte segrete sono usate meno di frequente al giorno d'oggi).
In parole povere, l'autenticazione senza password funziona se gli utenti si autenticano utilizzando un fattore basato sul possesso o sull'ereditarietà, come un OTP o una scansione biometrica facciale, anziché una password.
La compilazione automatica delle password non è un'autenticazione senza password. Né lo è l'utilizzo di un codice di sblocco del cellulare per compilare un campo password. Entrambe le opzioni si basano su una password sottostante. L'autenticazione senza password funziona aggirando la necessità di una password e utilizzando una tecnologia diversa.
Perché scegliere la biometria facciale per l'autenticazione senza password?
La semplicità della biometria facciale è uno dei suoi grandi vantaggi. È ampiamente accessibile, non c'è una password da ricordare e non c'è un dispositivo o un token di accesso da portare con sé. Questo rende la verifica biometrica del volto uno dei metodi di sicurezza più inclusivi e accessibili che esistano, se implementato correttamente.
Anche se altri metodi possono offrire vantaggi rispetto alla password tradizionale, la sicurezza è di solito inferiore a quella di una soluzione biometrica sofisticata. Gli OTP, ad esempio, sono spesso facili da falsificare. Per saperne di più sui rischi degli OTP, leggete qui.
Consideriamo quindi alcune delle aree in cui l'autenticazione biometrica senza password può fare la differenza:
- Sicurezza: In generale, l'autenticazione biometrica senza password dovrebbe essere più sicura di un login con password. Le password sono difficili da ricordare, quindi le persone tendono a usare la stessa password su più siti. Ciò significa che se una password viene indovinata o violata, un hacker potrebbe ottenere l'accesso a un'intera serie di account utente utilizzando attacchi di credential stuffing. Inoltre, le persone scelgono spesso password semplici e facili da decifrare. Ecco perché la maggior parte delle violazioni della sicurezza riguarda le password. Il 63% dei consumatori ha dovuto cambiare una password a causa di violazioni della sicurezza. Non si può però perdere il proprio volto o farselo rubare.
- Miglioramento dell'esperienza e della comodità dell'utente: Con l'autenticazione senza password, l'utente in genere non deve ricordare nulla. Nel caso di iProov, non deve nemmeno fare nulla: deve solo fissare la fotocamera del dispositivo rivolta verso l'utente. Questo rende l'autenticazione eccezionalmente facile per l'utente finale.
- Riduzione dei costi: La biometria comporta una riduzione dei costi di reimpostazione delle password e del tempo dedicato a ricordare ai dipendenti di reimpostare le password o di utilizzarne di sicure. I ticket dell'helpdesk per le password sono un problema enorme in tutti i settori: alcune grandi organizzazioni statunitensi in diversi settori verticali stanziano ogni anno oltre 1 milione di dollari per i costi di assistenza legati alle password. Richiedono una manutenzione costante da parte dell'IT. L'eliminazione della password elimina questi costi, affidandosi a metodi di autenticazione più efficienti e sicuri.
Vantaggi dell'implementazione dell'autenticazione senza password con la biometria facciale iProov
Così come alcuni metodi senza password sono migliori di altri, anche alcune soluzioni biometriche sono migliori di altre.
Ci sono una serie di proposte uniche che elevano la tecnologia iProov al di sopra di altre come soluzione senza password:
- Tassi di completamento leader nel settore: i tassi di completamento di iProov sono in genere superiori al 98%. Se si confronta questa statistica con il fatto che oltre il 50% degli utenti ha abbandonato gli acquisti online perché ha dimenticato la password e il suo recupero ha richiesto troppo tempo, è facile capire perché le organizzazioni si allontanano dalle password.
- Sicurezza basata sul cloud. La sicurezza basata sul cloud di iProov significa che la nostra autenticazione non è influenzata da eventuali vulnerabilità del dispositivo utilizzato. Significa anche che la nostra sicurezza è opaca per l'attaccante e molto più difficile da decodificare. Infine, ciò consente a iProov di fornire un'autenticazione fuori banda. Alcune opzioni di autenticazione senza password sono legate al dispositivo, per cui se quest'ultimo viene compromesso, un OTP o un'app di autenticazione saranno inutili perché l'aggressore ha accesso ai codici del dispositivo. Per questo motivo il Presidente Biden ha sottolineato l'importanza di un'architettura basata sul cloud.
- Un'esperienza davvero passiva: L'esperienza utente di iProov è semplice, veloce e passiva: tutto ciò che l'utente deve fare è guardare la fotocamera del dispositivo.
- Scalabilità e successo comprovato: iProov ha dimostrato la sua capacità di scalare in ambienti reali con importanti implementazioni in tutto il mondo, con oltre 1 milione di verifiche al giorno nei periodi di picco. iProov è un fornitore collaudato, già utilizzato attivamente e a cui si affidano organizzazioni di primo piano come il Dipartimento della Sicurezza Nazionale degli Stati Uniti e UBS.
- iSOC: il Centro operativo per la sicurezza di iProov monitora le operazioni quotidiane e identifica gli attacchi nuovi e in evoluzione. Le nostre difese e i nostri algoritmi vengono aggiornati continuamente in risposta alle nuove minacce, rendendo la vita molto più difficile agli aggressori. In definitiva, ciò significa che impariamo più cose sugli aggressori di quante loro ne imparino su di noi.
Leggete qui tutti i vantaggi dell'autenticazione biometrica facciale di iProov.
Perché la vivacità è importante per l'autenticazione senza password?
La tecnologia Liveness è una componente della tecnologia biometrica che distingue tra oggetti inanimati e persone.
La tecnologia Liveness è una considerazione fondamentale nella scelta di una soluzione di autenticazione biometrica senza password. Quando si valuta il tipo di tecnologia Liveness da utilizzare, bisogna pensare al profilo di minaccia. Quanto si impegnerà l'aggressore per entrare nel vostro sistema? Quanto è importante per voi stabilire che un utente online è una persona reale e non un impostore? E quanto sono preziose le informazioni a cui accede? Casi d'uso diversi richiedono livelli di garanzia diversi, ed è per questo che alcune organizzazioni scelgono l'autenticazione step-up.
In definitiva, non tutte le tecnologie liveness sono uguali. Esiste uno spettro di tecnologie liveness. Alcune sono molto economiche e veloci. Altre sono molto più consistenti e resistenti ai metodi degli aggressori, in grado di rilevare anche gli aggressori più determinati. Queste ultime possono fornire una notevole rassicurazione alle organizzazioni e ai loro utenti.
iProov offre soluzioni che coprono casi d'uso da basso ad alto rischio. Ma quando una transazione è mission critical, solo iProov Dynamic Liveness (GPA) può garantire che l'utente sia la persona giusta, una persona reale, e che si stia autenticando in tempo reale. Questo è fondamentale per la protezione da attacchi altamente scalabili iniettati digitalmente. Grazie alla tecnologia brevettata Flashmark™, viene creato un codice biometrico unico che non può essere replicato.
Per saperne di più sulla Liveness dinamica, cliccate qui.
Biometria per l'autenticazione senza password: Una sintesi
- I metodi di autenticazione senza password sono stati sviluppati per combattere le inefficienze, le insicurezze e gli inconvenienti associati alle password.
- L'autenticazione senza password si divide generalmente in due categorie: quella basata sul possesso (come gli OTP) e quella basata sull'ereditarietà (come la biometria).
- I metodi di autenticazione senza password dovrebbero essere generalmente più sicuri e convenienti delle opzioni basate su password. Ma c'è una gerarchia tra le opzioni disponibili: iProov sostiene la biometria facciale come metodo che massimizza la convenienza, l'inclusività e la sicurezza.
- L'autenticazione biometrica facciale di iProov viene utilizzata su scala dalle organizzazioni più attente alla sicurezza del mondo per offrire una soluzione senza password che migliora contemporaneamente la sicurezza e l'esperienza dell'utente.
Se siete interessati a saperne di più sull'implementazione della tecnologia di iProov per fornire un'autenticazione senza password sicura e senza interruzioni, richiedete una demo qui.