Autenticazione: le password da sole non bastano più

Le considerazioni di OneSpan in occasione del World Password Day 2019

In occasione del World Password Day, OneSpan ha reso noti i dati di un sondaggio per riflettere sulla trasformazione digitale in atto presso istituzioni finanziarie e altre organizzazioni interessate a stabilire un trust sull’identità delle persone, dei loro dispositivi e delle transazioni che modellano le loro vite.

In particolare, secondo i risultati del sondaggio emergerebbe che:

  • ancora troppe istituzioni, addirittura il 96%, continuano a fare affidamento su sistemi obsoleti basati sull’uso di username e password;
  • il 44% è messo alla prova dall’uso di credenziali legittime smascherate da violazioni di dati e schemi di social engineering attuati in esecuzione di tentativi di account takeover;
  • per superare i problemi di sicurezza affrontati, oltre il 60% degli intervistati prevede di investire, nel 2019, in nuove tecnologie di multifactor authentication, comprese quelle che si basano sulla biometria, sull’intelligenza artificiale e sull’apprendimento automatico;
  • quasi un terzo degli intervistati desidera ottimizzare la customer experience per migliorare l’autenticazione e conservare i clienti esistenti.

Stando a quanto sottolineato in una nota ufficiale da Will LaSala, Director of Security Solutions, Security Evangelist di OneSpan: «Le password sono la forma più semplice per mantenere la riservatezza su qualcosa, ma anche una delle maggiori sfide che le organizzazioni, comprese le istituzioni finanziarie, devono affrontare quando si tratta di autenticare un utente. Le organizzazioni non devono sentirsi obbligate a usare username e password per l’autenticazione poiché questo equivale a lasciare la porta del caveau aperta per i frodatori. La buona notizia è che ci sono molte ottime tecnologie che possono offrire un’autenticazione migliore e rimuovere completamente le password dalle nostre vite».

Il panorama per l’autenticazione, infatti, è cambiato e il numero di dati è aumentato drasticamente. Questi progressi tecnologici consentono alle istituzioni di ridurre i falsi positivi e identificare in tempo reale frodi che potevano sfuggirgli.

Ogni transazione richiede lo stesso livello di analisi risk-based. E la promessa portata dalle ultime innovazioni nell’adaptive authentication è che essa fornirà il preciso livello di sicurezza per ogni transazione e al momento giusto. In un’era in cui i controlli di sicurezza sono maturati, e dove l’intelligenza artificiale e l’apprendimento automatico stanno alimentando capacità di analisi più efficaci, non bisogna più scegliere tra praticità e sicurezza del cliente.

Per Mark Crichton, Sr. Director of Security Product Management di OneSpan: «Il World Password Day non dovrebbe più riguardare solo le password. Tutti sappiamo dei problemi che circondano le password e il danno che credenziali deboli o riutilizzate possono causare. Invece, dovremmo usare questa ricorrenza per concentrarci sul quadro generale dell’autenticazione. È chiaro che le password da sole non bastano più. Questo è il motivo per cui c’è una crescente necessità di far evolvere l’intelligenza, la forza e la complessità dei sistemi che operano a fianco delle password. Banche e anche aziende di altri settori devono acquisire maggiore titolarità nell’autenticazione per aiutare a rilevare accessi fraudolenti ai conti».

Di fatto, oggi la tecnologia che consente l’autenticazione senza password esiste: l’autenticazione biometrica è un esempio concreto, ma possiamo anche utilizzare tecnologie avanzate di riconoscimento dei dispositivi per sostituire le password. La sfida è data dal fatto che gli utenti sono abituati alle password ed eliminarle potrebbe causare preoccupazione. Una soluzione sensata è quella di fornire un riconoscimento positivo del dispositivo rispetto a un nome o a un identificativo dell’account.

Le normative sono un altro driver per l’uso di queste tecnologie
Per Frederik Mennes, Director of Product Security, Security Competence Center di OneSpan: «È importante rendersi conto che stiamo passando da meccanismi di autenticazione basati su “qualcosa che conosci” (ad esempio una password) a “qualcosa che hai” (ad esempio uno smartphone) e “qualcosa che sei” (ad esempio, un’impronta digitale o il volto). I meccanismi di autenticazione basati sul possesso e sui fattori biometrici hanno molti vantaggi: possono fare affidamento su algoritmi e protocolli crittografici forti e rimuovere la necessità per gli utenti di ricordare o gestire le password. In quanto tali, aumentano la sicurezza del processo di autenticazione dell’utente, aumentando allo stesso tempo la praticità».