Che cos’è il passwordless?
Nel linguaggio comune, “passwordless” è l’abbreviazione di “autenticazione passwordless (authentication)”.
Le informazioni che gli utenti possono fornire per l’autenticazione possono essere principalmente categorizzate in tre tipi:
- Qualcosa che l’utente conosce, come password, domande e risposte per il recupero della password (spesso domande e risposte si basano su esperienze personali passate).
- Qualcosa che l’utente ha, come un telefono cellulare, Password monouso (OTP) , o un token hardware.
- Qualcosa che l’utente è, come impronte digitali, riconoscimento facciale e altri identificatori biometrici.
L’autenticazione passwordless (authentication) è un metodo di autenticazione che consente agli utenti di accedere ai sistemi informatici senza inserire (o ricordare) una password o qualsiasi altro segreto basato sulla conoscenza. Nelle implementazioni più comuni, gli utenti devono inserire il loro identificatore utente (nome utente, indirizzo email, numero di telefono, ecc.) e quindi completare il processo di autenticazione fornendo una prova sicura dell’identità attraverso altri mezzi.
Perché utilizzare l’autenticazione passwordless (authentication)?
Sebbene l’uso delle password stia gradualmente diminuendo, sono ancora ampiamente utilizzate in tutto il mondo. La ragione principale è che i sistemi basati su password sono i più facili ed economici da implementare.
Inoltre, le password sono la causa principale delle violazioni dei dati. Per renderle più facili da ricordare, molte persone utilizzano schemi fissi nelle loro password, come l’uso di date di nascita o combinazioni di lettere da un tastierino numerico per password puramente numeriche. Questo rende molto più facile decifrare le password. In realtà, molte persone usano inconsapevolmente la stessa password su più piattaforme, aumentando ulteriormente il rischio di compromissione della password.
Ultimo ma non meno importante, le password sono un fastidio per gli utenti: sono difficili da ricordare e ingombranti da gestire. Per evitare di utilizzare una password unificata in tutti gli scenari, gli utenti hanno bisogno di strumenti dedicati per registrare varie password. Inoltre, poiché le password vengono utilizzate in luoghi diversi, potrebbero dover essere costantemente consultate. Questo comporta un notevole inconveniente nell’uso delle password.
D’altra parte, le tecnologie passwordless come i dati biometrici o OTP sono altamente convenienti e facili da usare. Idealmente, gli utenti potrebbero autenticarsi istantaneamente con i loro dati biometrici in qualsiasi momento e luogo. Nel mondo di oggi, dove i telefoni cellulari sono indispensabili, tutte le verifiche relative a “qualcosa che l’utente ha” possono di solito essere effettuate tramite il telefono.
Qual è la differenza tra autenticazione passwordless (authentication) e autenticazione multi-fattore (MFA)?
L’autenticazione passwordless (authentication) e Autenticazione multi-fattore (MFA) vengono talvolta menzionate in contesti simili. Pertanto, è necessario definire separatamente questi due termini e comprendere la differenza tra di essi:
- L’autenticazione passwordless (authentication) sostituisce l’autenticazione basata su password con altri fattori.
- MFA si riferisce all’uso di due o più fattori di autenticazione per verificare l’identità di un utente.
I “fattori” sono seriamente i tre diversi tipi di informazioni di autorizzazione che abbiamo menzionato in precedenza. Ad esempio, se un utente utilizza solo un indirizzo email + OTP durante l’autenticazione, questo è un fattore associato a “qualcosa che l’utente ha”, e possiamo considerare l’autenticazione dell’utente come passwordless.
Le implementazioni comuni di MFA includono l’uso di un secondo fattore di autenticazione (passwordless) per migliorare una password, ma MFA può anche essere completamente passwordless. Ad esempio, un’applicazione potrebbe utilizzare un’impronta digitale come primo fattore di autenticazione e indirizzo email + OTP come secondo fattore di autenticazione.
Qual è la differenza tra passwordless e SSO?
Basandosi sulla definizione precedente di passwordless, Single sign-on (SSO) è un tipo di metodo passwordless (gli utenti hanno/possiedono un account per il provider SSO).
Inoltre, gli account dei provider SSO generalmente hanno un’elevata sicurezza. Oltre a nomi utente e password, nella maggior parte dei casi è richiesta una MFA obbligatoria per garantire che gli utenti abbiano il pieno controllo dell’account. La MFA spesso comporta l’uso di verifiche di fattori passwordless, inclusi ma non limitati a passkey, OTP e impronte digitali.