Saranno sostituite da soluzioni di autenticazione basate sull’analisi del rischio, per rendere la vita degli hacker più difficile

A cura di Michael Magrath, Director, Global Regulations & Standards, VASCO Data Security

Delle password per computer non dovrebbe essere celebrata una festa ma il funerale. D’altronde, Bill Gates ne predisse la morte già nel 2004.

È ridicolo, oggigiorno, che qualcuno abbia ideato il World Password Day, viste le tantissime persone che in ogni angolo del mondo sono vittime di violazioni di dati a causa del furto di credenziali. Le password danno alle persone un falso senso di sicurezza: il Data Breach Investigations Report 2017 di Verizon rileva che l’81% delle violazioni correlate ad episodi di hacking ha fatto leva proprio su password rubate e/o deboli.

Ma è probabile che il tasso reale di violazione dei dati sia significativamente più alto di quanto viene riportato, semplicemente perché molte aziende ancora non dispongono delle capacità di indagine necessarie a comprendere di aver subito una violazione e che i loro dati sono stati rubati.

Le organizzazioni che fanno affidamento sulla password per proteggere informazioni personali e sensibili non sono altro che fonte di illecito guadagno per gli hacker.

Sebbene nessuna soluzione di sicurezza sia sicura al 100%, nel 2018 le organizzazioni che non implementano soluzioni di autenticazione basate sull’analisi del rischio stanno giocando col fuoco. Eppure la maggior parte dei siti web rivolti ai consumatori non offrono alcuna alternativa alla combinazione “Username+password”, magari con presunte domande di verifica le cui risposte spesso sono rintracciabili sul web.

Ma tutto questo potrebbe presto cambiare, visto che il W3C ha esortato i gestori di servizi online e gli sviluppatori di applicazioni web a implementare WebAuthn, cioè il protocollo Web Authentication promosso insieme alla FIDO Alliance.

WebAuthn può anche supportare varie forme di login biometrici, tra cui il riconoscimento facciale e vocale, le impronte digitali e la scansione dell’iride. Esso consente agli utenti di registrare metodi di autenticazione biometrici o basati su un secondo dispositivo, sostituendo ed eliminando in tal modo le password“.