Appgate ha presentato i diversi modelli di autenticazione sicura per prevenire il furto diffuso di password. Ha anche presentato una cronologia dell’evoluzione di questo sistema.
L’accesso corretto con una password non garantisce più l’accesso legittimo a un sistema e ad account sensibili. Questo è il motivo per cui Appgate, una società di accesso sicuro e leader mondiale nella sicurezza informatica, spiega l’importanza di implementare l’autenticazione sicura per proteggersi dalle minacce digitali.
Il numero di credenziali esposte è aumentato del 300% dal 2018 e tale crescita ha evidenziato che le chiavi utente e le password sono un metodo inefficace come autenticazione sicura. Tuttavia, la stragrande maggioranza delle organizzazioni continua a fare affidamento su questo modello.
La prima cosa da chiarire è che ogni fattore di autenticazione rientra in una delle tre categorie:
- Conoscenza: Questa categoria si riferisce a qualcosa che è noto. L’esempio più semplice è la password di un utente. Tuttavia, poiché è facile manipolare queste credenziali, la categoria della conoscenza è la meno efficace nell’implementazione dell’autenticazione sicura.
- Possesso: Si riferisce a qualcosa che è di proprietà ed è considerata una categoria di autenticazione forte perché è più difficile da manipolare. Il fatto che l’utente debba avere fisicamente qualcosa con sé aggiunge una sfida, ma non si rivela ancora una misura infallibile.
- Inerente: Questa è la categoria di autenticazione più forte. È molto più difficile per i truffatori replicare le caratteristiche umane, quindi questa categoria intrinseca diventa meno un obiettivo per i criminali informatici.
Ogni fattore di autenticazione ha i suoi vantaggi e svantaggi. Di seguito, Appgate presenta una panoramica dell’evoluzione dell’autenticazione.
- La prima password: Il sistema basato è stato creato all’inizio degli anni ’60 al MIT, il che significa che la password ha più di cinque decenni e anche allora non era sicura. Nonostante siano facili da installare e convenienti, finiscono per essere un fattore di autenticazione debole e facili da violare.
- Gli hard token furono brevettati per la prima volta alla fine degli anni ’80: Hanno fornito una password monouso e visualizzato un numero casuale che cambiava periodicamente. Sebbene il codice numerico univoco cambi con la frequenza e ne renda difficile la manipolazione, si tratta di un sistema obsoleto che è stato sostituito da dispositivi intelligenti molto più accessibili.
- Riconoscimento del dispositivo: I cookie sono stati creati alla fine degli anni ’90 e sono diventati comuni all’inizio degli anni 2000. Sono stati il primo esempio di riconoscimento di dispositivi su larga scala. Questa tecnologia si è evoluta e migliorata incorporando vari metodi che vengono costantemente aggiornati, tuttavia, gli attori fraudolenti possono accedere a un dispositivo in remoto utilizzando un Trojan di accesso remoto (RAT).
- sms: Sono stati ampiamente utilizzati nei primi anni 2000 e hanno segnato l’inizio della distribuzione di password ai telefoni in generale. È un modo semplice per implementare un sistema di autenticazione sicuro. Tuttavia, si rivela scomodo per gli utenti che hanno perso il proprio dispositivo o non hanno più accesso al numero di telefono registrato.
- Spingere: Blackberry è stato il primo a utilizzare le notifiche push, ma Google e Apple lo hanno adottato nel 2009 e nel 2010. Questo fattore presenta un messaggio pop-up su un dispositivo mobile che consente all’utente di accettare o rifiutare una transazione o un tentativo di accesso. È un metodo molto sicuro in quanto viene applicato a livello di dispositivo, ma si basa sull’accesso dell’utente al dispositivo originariamente registrato per l’account.
- Biometria delle impronte digitali: Il Touch ID di Apple ha reso popolare la biometria delle impronte digitali nel 2013. Questo metodo richiede semplicemente l’impronta digitale dell’utente registrato per confermare la propria identità, rendendo difficile la replica per un truffatore.
- Autenticazione QR: Il sito web di WhatsApp ha lanciato l’autenticazione QR nel 2015. I codici QR offrono un modo sicuro di autenticazione, fornendo a ogni utente un codice univoco. È una forma di autenticazione veloce, conveniente e molto sicura, ma può essere utilizzata solo in processi fuori banda.
- Biometria facciale: Face ID di Apple è stato uno dei primi esempi di biometria facciale per autenticare gli utenti. Gli svantaggi includono che dipende dall’illuminazione e dall’angolazione del viso dell’utente e può anche essere intercettato da una foto o da un video dell’utente.
Sebbene molti modelli di autenticazione forniscano un certo livello di protezione, nessun modello singolo è abbastanza efficace da solo. Pertanto, è importante garantire che le organizzazioni implementino l’autenticazione sicura utilizzando più modelli all’interno di categorie diverse.