Cos'è l'autenticazione senza password?
- Glossario IAM
- Cos'è l'autenticazione senza password?
L'autenticazione senza password è un metodo per controllare l'identità di un utente senza bisogno di una password tradizionale. Gli utenti verificheranno la loro identità attraverso altri mezzi come la biometria, le chiavi d'accesso, i magic link o le One-Time Password (OTP).
Come funziona l'autenticazione senza password?
Piuttosto che fare affidamento su qualcosa che l’utente “sa”, come una password, l’autenticazione senza password si basa su qualcosa che l’utente “è” o qualcosa che l’utente “ha”. Quando l'utente accede a un account che utilizza l'autenticazione senza password, dovrà prima inserire il suo nome utente o il suo indirizzo email. Gli verrà quindi chiesto di fornire qualcosa in suo possesso per accertare la sua identità. Può trattarsi di una chiave di sicurezza o di un magic link inviato al dispositivo. Se il metodo di autenticazione si basa su qualcosa che l'utente è, dovrà presentare la sua biometria attraverso una scansione facciale, oculare o delle impronte digitali o il riconoscimento vocale.
Tipi di autenticazione senza password
L'autenticazione senza password può essere divisa in due categorie: fattori posseduti e fattori ereditati.
Fattori posseduti
Un fattore di autenticazione posseduto si basa su qualcosa che l'utente ha. Le chiavi di sicurezza hardware sono degli ottimi esempi di fattore posseduto, poiché sono delle chiavi fisiche simili a delle USB a cui solo l'utente può accedere. Tra gli altri metodi di autenticazione senza password che rientrano in questa categoria vi sono i magic link, le chiavi d'accesso e le Time-based One-Time Password (TOTP).
Fattori ereditati
Un fattore ereditato si basa su delle caratteristiche fisiche di un utente. Nei fattori ereditati rientra qualsiasi tipo di biometria come le impronte digitali, il riconoscimento facciale e la scansione della retina.
L'autenticazione senza password è sicura?
L'autenticazione senza password è più sicura dell'autenticazione basata su password. Questo perché i metodi di autenticazione senza password non possono venire compromessi mediante attacchi comuni basati su password, come lo stuffing delle credenziali e gli attacchi di forza bruta.
L'autenticazione tradizionale basata su password utilizza la conoscenza come fattore di autenticazione. I sistemi di autenticazione senza password vedono tale fattore di conoscenza come un possibile vettore per phishing, ransomware e attacchi basati su password, poiché “qualcosa che conosci” è anche qualcosa che qualcun altro può scoprire e potenzialmente usare contro di te o la tua organizzazione.
Vantaggi dell'autenticazione senza password
Ecco due vantaggi dell'utilizzo dell'autenticazione senza password.
Aumenta la sicurezza
Poiché l'autenticazione senza password è più sicura rispetto all'utilizzo di password tradizionali, elimina la minaccia rappresentata dalle credenziali deboli, oltre alla possibilità di subire attacchi basati su password. Ciò non solo riduce la superficie di attacco di un'organizzazione, ma rafforza anche la sua sicurezza nel suo complesso.
Migliora l'esperienza utente
Con così tante password, può essere difficile ricordarle tutte, il che spesso si traduce nel reset della password. Questi reset non sono solo costosi per le organizzazioni, ma possono anche portare a perdite di produttività. Implementando l'autenticazione senza password, è possibile ridurre i costi del supporto IT relativi alle password e aumentare la produttività, fornendo al contempo un'esperienza di login fluida per gli utenti.
Svantaggi dell'autenticazione senza password
Uno dei principali svantaggi dell'implementazione dell'autenticazione senza password è che può essere costosa per le organizzazioni. Questo perché le organizzazioni potrebbero avere bisogno di acquistare hardware e software aggiuntivi per supportarne l'implementazione. Sebbene possa essere costoso, il ritorno sull'investimento (ROI) di un'organizzazione è elevato, visto sta prendendo provvedimenti al fine di mitigare il rischio di subire un attacco informatico che potrebbe causare notevoli perdite finanziarie, oltre che compromettere la sua reputazione.