UMB
Creating Time Candidatevi ora!
Condividi pagina in

FIDO2 ci aiuta a dimenticare finalmente le nostre password

La gestione di numerose password è per la maggior parte degli utenti troppo complicata, questo porta alla loro trascrizione oppure ad un loro continuo riutilizzo. Ma ora si propone (di nuovo) un rimedio. FIDO è l’abbreviazione di «Fast Identity Online» ed è una tecnologia che è più sicura e presumibilmente anche più conveniente. Google, Microsoft e Apple hanno annunciato di voler supportare il nuovo standard nelle loro piattaforme in forma estesa.

  #Security Awareness   #Security Risk Assessment  
Markus Kaegi
+41 58 510 16 98
markus.kaegi@umb.ch

In 30 paesi «password» è la forma di password più utilizzata in assoluto, seguita a brevissima distanza al secondo posto dalla sequenza numerica «123456». Al terzo posto segue – probabilmente anche per i requisiti richiesti per la lunghezza della password – «123456789»[i]. Un hacker ci mette appena un secondo per craccare le password di questa tipologia. Non è dunque la giusta soluzione per la sicurezza di molti dispositivi e account, nonostante siano disponibili gestori di password e autenticazione a due fattori (2FA)[ii]. La mancante sicurezza sui dati può portare per gli utenti privati a troppe seccature e a dover sostenere costi troppo elevati, nel caso peggiore al furto di identità. In un’azienda l’abitudine di usare password di questo tipo può avere conseguenze devastanti.

 

Un nuovo standard privo di password

Ci sono note aziende a livello internazionale che fanno parte della FIDO Alliance fondata dieci anni fa[iii]: Lenovo, Samsung, Microsoft, Apple, Google, PayPal, eBay, Red Hat, Huawei e Sony sono solo alcune delle aziende che si sono prefissate insieme di perseguire il fine di sviluppare tecnologie di accesso comode e sicure. FIDO2 è il risultato più recente di questi sforzi.

Il processo di autentificazione FIDO2 permette un accesso senza password e protegge da correnti attacchi online come il phishing e forme di attacco man in the middle[iv]. Fido2 funziona con una chiavetta privata ed una pubblica. Ambedue sono sequenze numeriche criptografiche che vengono generate per mezzo di procedimenti matematici per convalidare l’identità dell’utente. Il servizio riceve la chiavetta pubblica, la chiavetta segreta viene memorizzata nel proprio dispositivo. Quando si fa il login il dispositivo produce con la chiavetta segreta una firma digitale. Con la chiavetta pubblica si può procedere a verificare l’autenticità di quest’ultima.
La chiavetta privata non viene mai inviata, ma rimane sempre nel proprio dispositivo (e perciò non può essere catturata durante il percorso, come una password).

 

È necessario un minimo impegno da parte dell’utente

Tuttavia anche FIDO2 per funzionare ha bisogno di un minimo impegno da parte dell’utente: gli utenti si devono registrare per il corrispondente servizio:

  • Bisogna compilare un modulo d’iscrizione e impostare una chiavetta di sicurezza FIDO2.
  • Il servizio genera poi la coppia di chiavette di autentificazione FIDO2.
  • Il dispositivo FIDO2 dell’utente invia poi la chiavetta pubblica al corrispondente account, mentre la chiavetta privata con le informazioni sensibili rimane nel proprio dispositivo.
  • Non appena è stato attivato il sicuro percorso comunicativo, i dati di registrazione vengono salvati in modo duraturo in modo tale da poter poi sempre accedere.

Una volta registrati, il login risulta semplice e sicuramente possibile – non c’è più alcun bisogno di una password. Una volta confermata la richiesta con la chiavetta FIDO2, viene data via libera all’accesso al corrispondente conto.

 

I maggiori operatori si uniscono

Microsoft, Google e Apple hanno ora annunciato di voler estendere alle loro rispettive piattaforme lo standard comune per le registrazioni senza password[v]. Le tre aziende erano leader già nello sviluppo della gamma di funzioni avanzate di FIDO2 e le loro piattaforme supportano già gli standard di FIDO Alliance. (Windows Hello di Microsoft è già certificata FIDO dal 2019[vi], e Google utilizza l’autentificazione di FIDO sia per i propri dipendenti, sia per i suoi utenti e dichiara che da quando vengono impiegate le chiavette di sicurezza FIDO non si è più verificato alcun attacco phishing con successo ordito contro i dipendenti di Google.)

Le implementazioni fino ad oggi disponibili hanno richiesto che l’utente si dovesse registrare in ogni sito o app con qualsiasi dispositivo, prima di poter usare la funzionalità senza password. Ora ci sono due nuove funzioni che renderanno la registrazione senza password ancora più semplice: accesso automatico ai dati di registrazione FIDO attraverso più dispositivi, anche tramite nuovi, senza che sia necessaria una nuova registrazione per ogni dispositivo. Inoltre gli utenti possono utilizzare l’autentificazione FIDO sul proprio dispositivo mobile per accedere a un’app o a un sito web su un dispositivo nelle loro vicinanze, indipendentemente dal sistema operativo o dal browser. Ci si aspetta che queste nuove funzioni siano disponibili nel corso del nuovo anno nelle piattaforme di Apple, Google e Microsoft.

 

UMB: rendere il mondo digitale più sicuro

L’integrazione di FIDO2 nei processi di autentificazione e la possibilità di registrarsi senza una password costituiscono un passo importante al fine di rendere più sicura la comunicazione in un mondo digitale sempre più complesso. UMB vi può offrire un supporto a 360 gradi per quanto riguarda la sicurezza delle identità e la gestione degli accessi, anche per quanto concerne Two Factor Authentication, Multi Factor Authentication, Conditional Access, Identity Protection e Privileged Access Management.

Grazie a servizi modulari di sicurezza informatica, UMB crea una protezione permanente da attacchi informatici[vii] anche in tutti gli altri settori. La sicurezza informatica alla UMB non viene isolata, ma considerata come parte dei concetti IT, posto di lavoro e digitalizzazione. Solo misure organizzative e tecniche adeguate possono proteggere la vostra azienda in modo efficace e olistico. A questo fine bisogna introdurre nuove dimensioni di sicurezza che integrino la prevenzione classica (protezione di rete e perimetrale). Pertanto noi creiamo non solo sicurezza, ma anche tempo per voi – ad esempio per la vostra attività principale. Non esitate a contattarci se volete saperne di più.

 

[i] Le 200 password più utilizzate nel 2022 | NordPass

[ii] Gestione dell‘identità: cosa sapete. Cosa avete. Cosa siete. (umb.ch)

[iii] FIDO Alliance Member Companies & Organizations

[iv] Attacco Man-in-the-Middle

[v] Apple, Google, and Microsoft commit to expanded support for FIDO standard

[vi] Windows Hello FIDO2 certification gets you closer to passwordless

[vii] UMB Cyber Security: A New Dimension in Security

Temi simili

Meier Tobler Cybersecurity: quando una crisi diventa un’opportunità.

Grafica della sicurezza informatica

LSI e NIS2: la sicurezza informatica non è un’opzione, bensì una necessità strategica.