Strumenti informatici e tecnologie ICT - Il blog di Quanture

Passwordless: che cos'è come cambia l'autenticazione da PC e Mobile

Scritto da quanture_social | 15 ottobre 2020

L’utilizzo di password per l’accesso a un sistema o un servizio è una prassi consolidata, ma non sempre l’utilizzo di questo sistema offre agli utenti una buona esperienza d’uso. Per essere sicura una password deve essere sufficientemente forte, quindi possibilmente non una parola presente nel vocabolario e composta da lettere, numeri e caratteri speciali. La password diventa così difficile da memorizzare e, proprio perché complessa, si preferisce utilizzarne una per svariati servizi: il ragionamento che l’utente medio  fa è più o meno questo “scelgo una password sicura, la memorizzo e uso sempre quella”.

 

Una password valida deve essere complessa e sicura, ma spesso diventa difficile da memorizzare

Purtroppo, utilizzare le medesime credenziali di accesso su più servizi, seppur comodo, non offre un buon livello di sicurezza: in caso di compromissione di un sistema il problema viene facilmente propagato anche ad altri con danni difficilmente prevedibili. Ma senza arrivare a situazioni limite come la compromissione di un sistema le problematiche legate alle password sono anche assai semplici, come ad esempio la banale dimenticanza. Una possibile alternativa molto vantaggiosa per l’utente, ma vedremo poi anche per le organizzazioni, sono le soluzioni passwordless. Queste tecnologie non sono recentissime, anche se la loro diffusione e adozione risale a questi ultimi anni.

 

Come funziona l’autenticazione passwordless

L’autenticazione passwordless si basa fondamentalmente sul possesso di due elementi, uno pubblico e uno privato, per il buon esito del processo. La parte pubblica risiede sui sistemi che rendono disponibile il servizio al quale ci si vuole autenticare ed è fornita in fase di registrazione; può essere banalmente lo username, oppure un altro identificativo fornito in modalità sicura all’utente dal gestore stesso.

L’elemento privato necessario all’autenticazione risiede invece su un dispositivo fisico in possesso dell’utente. Può trattarsi ad esempio di un token hardware per la generazione di codici temporanei, oppure di app installate su uno smartphone ad uso esclusivo dell’utente e con quest’ultimo dispositivo si potrà beneficiare della sicurezza offerta dal riconoscimento delle impronte digitali, o del viso dell’utente. Alternative possono essere la scansione della retina a mezzo di hardware appropriato, oppure il riconoscimento vocale. Di fatto il principio che sottende a queste soluzioni è il seguente: identificare l’utente in base a un qualcosa in suo possesso, oppure in base a caratteristiche univoche dell’utente stesso.

Il processo di autenticazione, ovvero le operazioni che l’utente dovrà effettuare, può essere così esemplificato: inserire la componente pubblica nella pagina web del servizio al quale ci si deve autenticare e completare la procedura fornendo al servizio remoto la componente privata ad esempio tramite lo smartphone personale sul quale si riceverà una notifica e una richiesta di conferma per portare a termine l’autenticazione. Ma gli esempi potrebbero essere parecchi, come la generazione tramite app di un codice temporaneo da inserire sulla pagina web contestualmente alla componente pubblica, oppure all’inserimento in un lettore dedicato di una smartcard.

 

Vantaggi di una soluzione passwordless

In uno scenario simile si concretizza una situazione in cui anche un eventuale violazione di sistema non mette nelle mani di malintenzionati le credenziali di accesso degli utenti. Al tempo stesso l’utente è sgravato dal compito di gestire in modo mnemonico le password.

Per le organizzazioni i vantaggi sono molteplici, infatti, il carico di lavoro dovuto alla gestione delle problematiche legate al furto/smarrimento di password è sensibilmente ridotto . Inoltre, anche gli utenti stessi hanno benefici in termini di produttività adottando una soluzione passwordless: l’accesso ai servizi sarà estremamente più semplice non richiedendo sforzi mnemonici ma il semplice possesso del proprio smartphone o altro dispositivo hardware selezionato dall’ IT aziendale.

 

Anche Microsoft investe nel mondo passwordless

Per essere considerata una valida alternativa, una soluzione passwordless deve essere implementata in modo opportuno: deve apparire all’utente come un’alternativa più semplice e capace di identificarlo ad esempio attraverso il solo smartphone personale. Infatti, anche Microsoft sta affinando sistemi di autenticazione passwordless su diversi fronti. A iniziare da Windows 10 dove ha integrato tecnologie in grado di supportare le più recenti soluzioni passwordless, mettendo a disposizione dell’utente anche app dedicate da installare sul proprio smartphone. Inoltre, questo genere di soluzioni è in grado di sfruttare le potenzialità offerte dalla piattaforma TPM per la corretta gestione della crittografia a cui sottoporre dati e informazioni.

Le tecnologie passwordless offrono vantaggi a ogni fascia di utenti coinvolti nel processo: per l’utente finale il tutto si traduce in un accesso sicuro e semplificato  ai servizi online mentre le organizzazioni potranno disporre di queste soluzioni software rese disponibili  da partner affidabili.