Un’autenticazione basata solo su password è decisamente debole, anche se la password impostata è robusta, perché la sicurezza dell’account dipende da un solo dal fattore password.
Per questo ci viene in aiuto la Strong Authentication o autenticazione forte a due o più fattori, definita anche 2FA o MFA (Multi-Factor Authentication). Essa rappresenta la misura di sicurezza più importante per proteggere l’accesso ai nostri account.
In ambito bancario è utilizzata da anni ed è definita Strong Customer Authentication (SCA) definita in modo molto preciso nella PSD2 all’art.4 comma 30 come:
«autenticazione forte del cliente»: un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.
Tipologie di MFA
L’autenticazione può esser eseguita con modalità diverse. Quelle più usate possono essere raggruppate in tre differenti categorie:
- CONOSCENZA: ”Una cosa che sai”, per esempio una password o il PIN.
- POSSESSO: ”Una cosa che hai”, come uno smartphone, una smartcard o un token di sicurezza.
- INERENZA: ”Una cosa che sei”, cioè un dato biometrico, quale l’impronta digitale, il timbro vocale, il viso, l’iride.
A differenza della password, il secondo codice è di fatto inattaccabile, in quanto non basta la conoscenza del fattore ma si necessita il possesso di un dato biometrico o un accessorio terzo.
Microsoft: studio su 1,2 milioni di account violati
A darci la misura di quanto siano deboli le autenticazioni con un solo fattore, ovvero la password, è stata Microsoft nel corso della RSA Conference 2020 svoltasi a San Francisco nel febbraio 2020.
Durante il convegno, Microsoft stessa ha evidenziato lo studio su oltre 1,2 milioni di account violati nel gennaio 2020: oltre il 99,9% di tali account violati non aveva la MFA.
La soluzione semplice e sicura
La YubiKey è una chiave di sicurezza hardware che fornisce una forte e sicura autenticazione a due fattori, multi-fattore e senza password. Le YubiKeys offrono facilità d’uso, riducono i costi del supporto IT e aumentano la produttività. La YubiKey è l’unica soluzione che ha dimostrato di ridurre le acquisizioni di account allo 0% in una ricerca indipendente. Con supporto multiprotocollo, le YubiKeys sono un investimento a prova di futuro, agendo come un ponte per l’autenticazione moderna e senza password.
Le YubiKey sono semplici da usare.
La funzionalità tap and go di YubiKey consente agli utenti di accedere 4 volte più velocemente che con con SMS3.
Le YubiKey riducono i costi di supporto IT.
Consentono all’utente self-service per la reimpostazione della password, aumentando la produttività ed eliminando il tempo e i costi relativi al manager o all’help desk per la reimpostazione delle password.
La YubiKey offre comodamente l’autenticazione portatile attraverso dispositivi e applicazioni.
Una singola YubiKey funziona su più dispositivi tra cui desktop, computer portatili, mobili, tablet, notebook e anche condivisi postazioni di lavoro/chioschi condivisi.
Le YubiKey non richiedono una batteria o una connessione internet connessione internet, sono anche altamente durevole, resistente allo schiacciamento, e resistente all’acqua.
Ridurre i costi di reimpostazione della password
YubiKeys per l’autenticazione a due o più fattori riduce drasticamente i costi di supporto relativi al reset delle password. Le YubiKeys consentono la reimpostazione self-service della password senza richiedere agli utenti di aspettare un manager o un help desk, riducendo così i costi relativi alla reimpostazione delle password e alla perdita di produttività. Questo è particolarmente importante per le applicazioni/ ambienti a cui gli utenti accedono di rado e per i quali le password dimenticate sono un evento comune.
Secondo Forrester, la reimpostazione delle password costa all’help desk oltre 179 dollari per dipendente all’anno, quindi un’organizzazione con 1.000 dipendenti che utilizzano YubiKeys per il self-service può ottenere un risparmio medio annuo di oltre 179.000 dollari.
Caso emblematico: Dopo l’implementazione di YubiKeys, Google ha scoperto che le chiamate di supporto sono diminuite del 92%, risparmiando migliaia di ore all’anno di supporto.
Campi di applicazione
Svariati possono essere i campi di applicazione delle YubiKeys. Dall’utilizzo personale a quello industriale, da quello di piccole aziende a quello delle grandi banche e delle assicurazioni. Yubico offre anche YubiEnterprise Services, che consiste in YubiEnterprise Subscription e YubiEnterprise Delivery, per aiutare le organizzazioni a semplificare l’approvvigionamento e la distribuzione di YubiKeys per i dipendenti.
Applicazioni sicure basate sul web
L’autenticazione conveniente e sicura è una necessità che cresce in modo proporzionale all’adozione di applicazioni basate sul cloud, come la posta elettronica, il libro paga e i sistemi temporali. Le YubiKeys funzionano con centinaia di applicazioni e servizi tra cui soluzioni leader di gestione dell’identità di accesso (IAM) come Microsoft, Okta, Ping e Duo. La YubiKey in collaborazione con i fornitori IAM e i fornitori di identità (IdPs) può anche essere utilizzato per Single Single On (SSO).
Leader dell’autenticazione affidabile
Yubico è il principale inventore degli standard di autenticazione WebAuthn/FIDO2 e degli standard di autenticazione U2F adottati dall’alleanza FIDO. E’, inoltre, la prima azienda a produrre la chiave di sicurezza U2F e un autenticatore multiprotocollo FIDO2. Le YubiKeys sono prodotte negli Stati Uniti, mantenendo la sicurezza e il controllo di qualità su tutto il processo di produzione.