Cos’è l’autenticazione passwordless?
L’autenticazione passwordless è un metodo di autenticazione che consente agli utenti di accedere ai sistemi informatici senza inserire (o ricordare) una password o qualsiasi altro segreto basato sulla conoscenza.
Ad esempio, quando sblocchi il tuo smartphone utilizzando il riconoscimento delle impronte digitali o del volto, o quando ricevi un codice monouso via SMS per accedere al tuo account email - questi sono tutti metodi comuni di autenticazione passwordless che usiamo nella nostra vita quotidiana.
Quali sono i tipi di autenticazione passwordless?
Ci sono diversi tipi comuni di autenticazione passwordless che incontriamo nella nostra vita quotidiana:
Autenticazione biometrica
L’autenticazione biometrica sfrutta le nostre caratteristiche fisiche uniche per la verifica dell’identità, principalmente attraverso la scansione delle impronte digitali, il riconoscimento facciale e la scansione dell’iride. Le incontriamo in situazioni quotidiane:
- Sbloccare il tuo iPhone con Face ID mentre compri un caffè
- Accedere alla tua app bancaria con la tua impronta digitale
- Accedere a strutture sicure utilizzando scanner dell’iride
Magic links
I magic links sono link speciali monouso inviati alla tua email, offrendo un’esperienza di autenticazione senza soluzione di continuità. Li troverai in molti servizi popolari:
- Cliccare su un link “Accedi” da Slack nella tua email
- L’opzione “Accedi con email” di Medium che ti invia un link di accesso
- Il sistema di autenticazione basato su email di Notion
Consulta Collegamento magico (Magic link) per maggiori dettagli.
Codici monouso (OTP)
I codici monouso, tipicamente inviati via SMS o email, rappresentano uno dei metodi passwordless più diffusi:
- Ricevere un codice a 6 cifre per accedere al tuo account Google
- Ottenere un codice di verifica per le transazioni bancarie online
- Utilizzare un’app di autenticazione come Google Authenticator
Consulta Password monouso (OTP) per maggiori dettagli.
Passkey
Le passkey sono alternative sicure basate su FIDO alle password tradizionali che utilizzano la crittografia avanzata per proteggere i tuoi account dagli attacchi di phishing. Ecco come funzionano:
- Uniche per servizio: Quando ti registri per un servizio, il tuo dispositivo crea una passkey unica collegata al dominio specifico di quel servizio
- Basate su dispositivo: Le passkey sono tipicamente memorizzate in moduli di sicurezza hardware, integrati nei tuoi dispositivi o come chiavi di sicurezza separate
- Coppie di chiavi pubbliche-private: Il dispositivo memorizza in modo sicuro la chiave privata mentre condivide la chiave pubblica con il servizio. Queste coppie di chiavi crittografiche sono ciò che chiamiamo passkey
- Sicurezza hardware: Molte passkey sono protette da moduli di sicurezza hardware dedicati, rendendole estremamente difficili da compromettere
- Sincronizzazione tra dispositivi: Le passkey possono essere sincronizzate in modo sicuro tra dispositivi utilizzando l’archiviazione cloud (ad esempio, Apple iCloud Keychain o Google Password Manager)
Scenari di utilizzo comuni:
- Utilizzare una chiave di sicurezza USB per accedere al tuo laptop di lavoro
- Toccare il tuo telefono (come chiave di sicurezza) per accedere al tuo account Google
- Collegare una chiave di sicurezza hardware per accedere a sistemi altamente sicuri
Consulta Passkey per maggiori dettagli.
Perché utilizzare l’autenticazione passwordless?
Per decenni, le password sono state il metodo predefinito per l’autenticazione. Anche oggi, la maggior parte dei nostri account online si basa ancora sulle password. Tuttavia, questo approccio tradizionale sta affrontando sfide crescenti, facendoci chiedere: perché dovremmo utilizzare l’autenticazione passwordless?
Le password non sono abbastanza sicure
Quando un’azienda subisce una violazione dei dati, milioni di password possono essere esposte contemporaneamente. Gli attaccanti possono facilmente sfruttare queste password tramite strumenti automatizzati, soprattutto poiché molti utenti riutilizzano le loro password su diversi servizi. Ad esempio, se un attaccante ottiene la password di un utente da un sito di giochi compromesso, potrebbe accedere all’email o ai conti bancari di quella persona utilizzando le stesse credenziali.
Consulta questo blog per scoprire Come vengono craccate le tue password? .
Le password sono difficili da usare e gestire
Pensa a gestire i tuoi account online: hai dozzine di account su diversi siti web e servizi, ognuno con i propri requisiti di password. Anche se cerchi di utilizzare una password coerente, le diverse politiche sulle password ti costringono ad aggiungere caratteri speciali, numeri o a fare altre variazioni. Un sito richiede almeno un carattere speciale, un altro non consente determinati simboli e un terzo richiede un minimo di 12 caratteri.
Quando provi ad accedere, non riesci a ricordare quale variazione hai usato per questo particolare sito. Era quella con il punto esclamativo alla fine? O quella con il simbolo ”@”? Dopo diversi tentativi falliti, vieni bloccato e devi affrontare un altro processo di reimpostazione della password che richiede tempo.
Questo scenario frustrante si verifica milioni di volte al giorno in tutte le organizzazioni, portando a continue reimpostazioni delle password, tempo perso e ridotta produttività.
L’autenticazione passwordless è più sicura delle password
Immagina invece di utilizzare la tua impronta digitale o il riconoscimento facciale per accedere a tutte le tue applicazioni di lavoro. Poiché questi fattori biometrici non possono essere rubati o indovinati come le password, anche se un attaccante viola il database dell’azienda, non può utilizzare queste informazioni per impersonare gli utenti. Inoltre, i metodi passwordless come le chiavi di sicurezza offrono protezione contro gli attacchi di phishing, poiché verificano sia l’utente che l’autenticità del sito web.
L’autenticazione passwordless è user-friendly
Con l’autenticazione passwordless, accedere ai tuoi account diventa semplice come sbloccare il tuo smartphone.
Ad esempio, quando ricevi una notifica push sul tuo telefono per approvare un tentativo di accesso, puoi autenticarti con un semplice tocco o un rapido sguardo al tuo dispositivo. Questa esperienza senza soluzione di continuità elimina il carico cognitivo di ricordare più password mantenendo alti standard di sicurezza.
Come funziona l’autenticazione passwordless?
L’autenticazione si basa generalmente su tre tipi di fattori:
- Qualcosa che l’utente conosce: come password o PIN
- Qualcosa che l’utente possiede: come dispositivi fisici o token
- Qualcosa che l’utente è: come tratti biometrici.
L’autenticazione passwordless si allontana dall’approccio tradizionale “qualcosa che conosci”, concentrandosi invece sugli altri due fattori.
Quando si utilizza “qualcosa che possiedi”, il processo di autenticazione inizia tipicamente con il tuo indirizzo email o numero di telefono. Immagina di accedere al tuo conto bancario - invece di digitare una password, potresti ricevere un codice monouso via SMS o email. Oppure potresti aver configurato un’app di autenticazione sul tuo telefono che genera automaticamente questi codici. Alcuni servizi inviano anche notifiche push al tuo telefono, permettendoti di semplicemente toccare “Approva” per accedere. Per esigenze di sicurezza più elevate, potresti utilizzare una chiave di sicurezza fisica che si collega al tuo dispositivo, simile all’inserimento di una chiave digitale.
L’approccio “qualcosa che sei” è ancora più semplice e probabilmente già familiare a te. Quando sblocchi il tuo smartphone con la tua impronta digitale o guardando lo schermo per il riconoscimento facciale, stai utilizzando l’autenticazione biometrica. Alcuni sistemi utilizzano anche il riconoscimento vocale, dove pronunciare una frase specifica può verificare la tua identità. Questi fattori biometrici sono unici per te e vengono elaborati in modo sicuro sul tuo dispositivo.
Qual è la differenza tra autenticazione passwordless e autenticazione multi-fattore (MFA)?
L’autenticazione passwordless e Autenticazione multi-fattore (MFA) sono a volte menzionate in contesti simili. Pertanto, è necessario definire questi due termini separatamente e comprendere la differenza tra di essi:
- L’autenticazione passwordless sostituisce l’autenticazione basata su password con altri fattori.
- MFA si riferisce all’uso di due o più fattori di autenticazione per verificare l’identità di un utente.
I “fattori” sono seriamente i tre diversi tipi di informazioni di autorizzazione che abbiamo menzionato in precedenza. Ad esempio, se un utente utilizza solo un indirizzo email + OTP durante l’autenticazione, questo è un fattore associato a “qualcosa che l’utente possiede”, e possiamo considerare l’autenticazione dell’utente come passwordless.
Le implementazioni comuni di MFA includono l’uso di un secondo fattore di autenticazione (passwordless) per migliorare una password, ma MFA può anche essere completamente passwordless. Ad esempio, un’applicazione potrebbe utilizzare un’impronta digitale come primo fattore di autenticazione e un indirizzo email + OTP come secondo fattore di autenticazione.
Qual è la differenza tra passwordless e SSO?
Single sign-on (SSO) (SSO) e l’autenticazione passwordless sono due concetti distinti nella gestione delle identità:
- SSO riguarda la centralizzazione dell’autenticazione degli utenti, consentendo agli utenti di accedere a più applicazioni con un unico login
- L’autenticazione passwordless si concentra su come gli utenti dimostrano la loro identità senza utilizzare password
Sebbene servano a scopi diversi, possono lavorare insieme.
Ad esempio, un sistema SSO può utilizzare metodi passwordless (come biometria o chiavi di sicurezza) per l’autenticazione. Questa combinazione fornisce sia la comodità del single sign-on che i benefici di sicurezza dell’autenticazione passwordless.