Tag: futuro

Passwordless: che cos’è e come cambia il futuro dell’autenticazione da PC e Mobile da parte di Microsoft.

L’utilizzo di password per l’accesso a un sistema o un servizio è una prassi consolidata. Purtoppo non sempre l’utilizzo di questo sistema offre agli utenti una buona esperienza d’uso. Per essere sicura una password deve essere sufficientemente forte, quindi possibilmente non una parola presente nel vocabolario e composta da lettere, numeri e caratteri speciali. La password diventa così difficile da memorizzare e, proprio perché complessa, si preferisce utilizzarne una per svariati servizi: il ragionamento che l’utente medio  fa è più o meno questo “scelgo una password sicura, la memorizzo e uso sempre quella”.

Il futuro però può essere senza password e il futuro, secondo Microsoft, può iniziare fin da oggi. Il gruppo di Redmond, infatti, intende dare il via a quella che ha le sembianze di un vero e proprio cambio di paradigma per gli utenti. Aiutandoli a gestire le password in modo più sicuro attraverso un tool appositamente sviluppato.

Il futuro è passwordless con authenticator o smartcard

Se la password è troppo complessa, facilmente ce la si dimentica. Quando invece non è sufficientemente complessa, facilmente può essere identificata. Se è frutto di una formula apparentemente complessa, il più delle volte può essere interpretata. Come uscirne?

L’autenticazione passwordless si basa fondamentalmente sul possesso di due elementi, uno pubblico e uno privato, per il buon esito del processo. La parte pubblica risiede sui sistemi che rendono disponibile il servizio al quale ci si vuole autenticare ed è fornita in fase di registrazione; può essere banalmente lo username, oppure un altro identificativo fornito in modalità sicura all’utente dal gestore stesso.

Il processo di autenticazione, ovvero le operazioni che l’utente dovrà effettuare, può essere così esemplificato: inserire la componente pubblica nella pagina web del servizio al quale ci si deve autenticare e completare la procedura fornendo al servizio remoto la componente privata ad esempio tramite lo smartphone personale sul quale si riceverà una notifica e una richiesta di conferma per portare a termine l’autenticazione. Ma gli esempi potrebbero essere parecchi, come la generazione tramite app di un codice temporaneo da inserire sulla pagina web contestualmente alla componente pubblica. Oppure all’inserimento in un lettore dedicato di una smartcard.

Microsoft consiglia questi semplici passaggi per passare ad un livello nuovo di sicurezza:

1. collegare il proprio account Microsoft all’app Microsoft Authenticator
2. Visitare il proprio Microsoft account, scegliere le opzioni di sicurezza avanzate e, sotto “Opzioni di sicurezza addizionali”, attivare “Passwordless account”.

Se compare questo messaggio il passaggio è compiuto:

Vantaggi

In uno scenario simile si concretizza una situazione in cui anche un eventuale violazione di sistema non mette nelle mani di malintenzionati le credenziali di accesso degli utenti. Al tempo stesso l’utente è sgravato dal compito di gestire in modo mnemonico le password.

Per le organizzazioni i vantaggi sono molteplici, infatti, il carico di lavoro dovuto alla gestione delle problematiche legate al furto/smarrimento di password è sensibilmente ridotto . Inoltre, anche gli utenti stessi hanno benefici in termini di produttività adottando una soluzione passwordless: l’accesso ai servizi sarà estremamente più semplice non richiedendo sforzi mnemonici ma il semplice possesso del proprio smartphone o altro dispositivo hardware selezionato dall’ IT aziendale.

Anche Microsoft investe nel mondo passwordless

Le tecnologie passwordless offrono vantaggi a ogni fascia di utenti coinvolti nel processo: per l’utente finale il tutto si traduce in un accesso sicuro e semplificato  ai servizi online mentre le organizzazioni potranno disporre di queste soluzioni software rese disponibili  da partner affidabili.

Per essere considerata una valida alternativa, una soluzione passwordless deve essere implementata in modo opportuno: deve apparire all’utente come un’alternativa più semplice e capace di identificarlo ad esempio attraverso il solo smartphone personale. Infatti, anche Microsoft sta affinando sistemi di autenticazione passwordless su diversi fronti. A iniziare da Windows 10 dove ha integrato tecnologie in grado di supportare le più recenti soluzioni passwordless, mettendo a disposizione dell’utente anche app dedicate da installare sul proprio smartphone. Inoltre, questo genere di soluzioni è in grado di sfruttare le potenzialità offerte dalla piattaforma TPM per la corretta gestione della crittografia a cui sottoporre dati e informazioni.

Questo processo inizia su Edge e Microsoft 365, ma in futuro sarà esteso anche alle altre proprietà del gruppo. Un passo avanti con il quale Microsoft ritiene si possa davvero alzare il livello medio di sicurezza dei singoli account, migliorando al tempo stesso l’esperienza degli utenti con le proprie credenziali di accesso.