UN MONDO SENZA PASSWORD
L’aumento della digitalizzazione delle aziende ha portato anche a un aumento dei rischi informatici, spesso connessi alla gestione delle credenziali. Sul futuro dell’autenticazione, l’industria tech ha già deciso quale strada prendere. Ma saranno diversi i fattori che determineranno la velocità di questa rivoluzione
“… UN MONDO SENZA PASSWORD.
Non vedo l’ora”. La conferenza virtuale con cui, a fine aprile, Gianmatteo Manghi si è presentato alla stampa nel suo nuovo ruolo di Ad di Cisco Italia si sta per concludere. E tra gli ultimi argomenti affrontati ce ne è uno che ha tutte le potenzialità per rivelarsi rivoluzionario, e non solo per il gigante tecnologico americano: in un mondo informatico sempre più innamorato della biometria e sempre più spaventato dai danni devastanti degli attacchi hacker, cosa sarà delle password? Come lascia presagire il commento dell’ad che ha preso il posto di Agostino Santoni (ora vice presidente Cisco per il Sud Europa), l’industria tech ha già deciso quale strada prendere. Ma saranno anche gli utenti, cittadini e aziende grandi e piccole, a determinare la velocità di questa rivoluzione.
QUANTO COSTANO LE PASSWORD ALLE AZIENDE?
La più grande vulnerabilità di qualsiasi sistema informatico, per aziende grandi e piccole, sono le credenziali: mail, nomi utente, password. Perché per i malintenzionati possono rappresentare sia un punto di accesso da conquistare attraverso il phishing, sia un tesoro da rubare, per poi ricattare la vittima, come nel caso
del ransomware, mettendone magari i dati in vendita su un marketplace del darkweb (costo medio, secondo la società di ricerca Comparitech: tra gli 8 e i 25 dollari). Nell’anno della pandemia, che ha portato un numero senza precedenti di dipendenti a lavorare da casa, gli attacchi di phishing e ransomware sono aumentati rispettivamente dell’11% e del 6%, secondo i dati del ‘Data breach investigations report 2021’ di Verizon: delle 5.258 violazioni analizzate dall’azienda americana (segnalate dalle 83 aziende che hanno collaborato al report), l’85% è stato determinato da una componente umana. L’81% delle violazioni passa per il furto delle credenziali.
Secondo un’analisi Gartner di settembre 2020, la pandemia, accelerando l’adozione di nuove tecnologie da parte delle aziende, ha anche creato nuovi rischi per la sicurezza: nel lavoro da remoto dei dipendenti, nei rapidi adattamenti alle ordinanze dei governi per il contenimento della pandemia, addirittura incrementando il livello di stress dei lavoratori ed esponendoli maggiormente a errori sfruttabili dai criminali informatici. Tra i dati che descrivono i trend dell’anno della pandemia ci sono anche quelli relativi agli obiettivi degli hacker: se lo scorso anno le violazioni a danno delle pmi erano meno della metà rispetto a quelle subite dalle grandi aziende, il report di Verizon “registra un rapporto di 100 a 87”, ha sottolineato all’adnkronos Phillip Larbey, managing principal di Verizon Business. Anche le aziende più piccole quindi, stanno diventando appetibili per i criminali informatici. Per le aziende più grandi, invece, si stima che quasi il 50% dei costi dell’help desk IT sia destinato alla reimpostazione delle password, con una spesa media annua per le aziende che supera 1 mln di dollari per il solo personale, secondo il report Passwordless authentication pubblicato a inizio 2020 dal World economic forum, che ha anche fornito una stima del costo medio delle data breach provocate dagli attacchi informatici: la media globale (aggiornata al 2019) è 3,92 mln di dollari. In Italia, la cifra scende leggermente a 3,52 mln di dollari. Anche Salvatore Sammito, Principal GTM Practice intelligent cybersecurity di NTT Ltd. per l’italia, conferma che “quasi il 50% dei ticket degli help desk IT delle aziende spesso sono legati al blocco delle utenze per l’inserimento di password sbagliate o alla necessità di resettarle, e in generale alla gestione delle password”. Secondo un sondaggio citato dal report del Wef, i dipendenti di tutto il mondo trascorrono in media 11 ore all’anno a inserire o reimpostare la propria password. Per un’azienda di 15.000 dipendenti, ciò rappresenta una perdita di produttività diretta di 5,2 mln di dollari. I reparti IT delle aziende passano in media 2 mesi e mezzo ogni anno a reimpostare le password interne. Quando non ci sono password da rubare, i criminali informatici hanno seri problemi ad accedere e a prendersi i dati. Sotto il profilo della gestione del rischio, questo implica che il passaggio al ‘passwordless’ potrebbe permettere, misurando a spanne, alle aziende di tagliare l’80% dei budget relativi alla prevenzione dei rischi di infiltrazioni informatiche, e anche di risparmiare sui costi assicurativi legati ai rischi informatici, dice il report del Wef. I motivi per cambiare, insomma, sono troppi per essere ignorati. Come conferma un “global system integrator” come
NTT Ltd., dice Sammito, “quello che vediamo è una transizione delle aziende verso un’autenticazione che faccia a meno delle password”, con il mondo finanziario (tra l’altro particolarmente colpito dai problemi di sicurezza relativi alle credenziali) a guidare il trend.
LE MOSSE DEL TECH
“Su Internet, nessuno sa che sei un cane” (“On the Internet, nobody knows you’re a dog”) dice un cane a un altro, davanti a un pc, in una famosa vignetta disegnata da Peter Steiner e pubblicata dal The New Yorker nel 1993. “Già un quarto di secolo fa, il problema di sapere chi fosse realmente colui che si stava autenticando era molto evidente. Quel problema si è trascinato fino ai nostri giorni. E mettere sempre al centro la domanda sull’identità di chi si sta autenticando apre scenari importanti”. Come lo scenario passwordless, racconta Carlo Mauceli, National technology officer di Microsoft Italia. “Questo percorso noi l’abbiamo già iniziato anni fa. Io username e password ormai non le uso più da parecchio”.
Ma quali ostacoli si devono superare prima di poter abbandonare le password? Secondo Mauceli si deve passare “dall’adeguamento applicativo, perché uno dei limiti sono le applicazioni, visto che molte impongono ancora l’utilizzo delle password”. Ma un altro grande ostacolo è quello legato agli utenti stessi, le cui cattive abitudini in fatto di sicurezza informatica non sono facili da eradicare: quanti di noi usano le stesse credenziali per account diversi? Microsoft non costringe gli utenti ad abbandonare le password, dice Mauceli. Ma, attraverso l’integrazione completa dei nuovi sistemi di autenticazione nei suoi prodotti, li sta progressivamente convincendo. L’esempio più lampante, dice Mauceli, è Windows Hello, il sistema di autenticazione biometrica (o tramite Pin) che ormai è attivo sull’84% dei sistemi operativi Windows 10 in circolazione, con un grosso incremento rispetto al 69,4% registrato nel 2019. Stesso principio l’azienda di Redmond lo sta applicando nel business dedicato alle imprese: il login senza password in Azure active directory sarebbe aumentato di oltre il 50% nel 2020, poiché un numero maggiore di utenti è passato a opzioni di accesso senza password come Microsoft Authenticator oppure chiavi di sicurezza FIDO2. Attualmente sarebbero più di 150 milioni gli utenti ‘passwordless’ totali, tra Azure active directory e i singoli account privati. L’obiettivo del 2021 è la creazione di un unico portale dove gestire tutte le credenziali senza password, ha fatto sapere a fine 2020 l’azienda
americana, che punta molto sull’integrazione dell’autenticazione tra le sue diverse piattaforme. Se tra le Big Tech Microsoft è stata quella che si è mossa finora in maniera più convinta verso l’abbandono delle password, non è stata comunque l’unica.
Il 6 maggio 2021, in un post sul blog aziendale, Mark Risher, director of product management, identity and user security di Google, ha scritto che “le password sono la più grande minaccia per la sicurezza online: sono facili da rubare, sono difficili da ricordare e gestirle è noioso. Molte persone credono che una password debba essere più lunga e complicata possibile, ma in molti casi questo può effettivamente aumentare il rischio per la sicurezza. Le password complicate inducono gli utenti a utilizzarle per più di un account; infatti, il 66% degli americani ammette di utilizzare la stessa password su più siti, il che rende tutti quegli account vulnerabili, se uno di loro viene rubato”. Per questo Google sta “creando un futuro in cui un giorno non avremo più bisogno di usare una password”. Oggi Google utilizza un processo di verifica in due passaggi che al momento è ancora volontario. Prossimamente, dice Google, la funzionalità verrà attivata automaticamente, basterà che ci sia la corretta configurazione nelle impostazioni di sicurezza dell’account. Ma Mountain View sta anche lavorando al perfezionamento dell’autenticazione multi-fattore, permettendo ai clienti di utilizzare i loro telefoni come forma secondaria di autenticazione.
Intanto, c’è un’altra grande azienda che ha recentemente dimostrato di puntare parecchio su un futuro senza password. L’azienda in questione è Cisco, e la direzione che prenderà potrebbe non solo determinare le nuove pratiche di autenticazione a livello enterprise, ma anche dettare il passo su un altro concetto che gli addetti ai lavori ritengono fondamentale, per un’adozione veloce dei nuovi sistemi di autenticazione: l’integrazione. Nel settore, dice Sammito di NTT Ltd., ultimamente si riscontra una certa propensione all’integrazione, anche tra competitor. E con l’allargamento del perimetro dell’informatica all’interno di aziende che hanno bisogno di sistemi IT complessi ed evoluti ma spesso non hanno le competenze o le risorse per proteggere adeguatamente il perimetro aziendale, soluzioni di cybersecurity integrabili e servizi di sicurezza gestita (che facciano leva sull’uso dell’automazione come avviene nei “Security operation center” di NTT) stanno diventando sempre più importanti.
“Le password sono tante e sono diventate un problema. Abbiamo intrapreso una roadmap che comincerà dal 2022 per non usarle più”, dice Enrico Mercadante, Lead for specialists team southern Europe and innovation di Cisco Italia durante la conferenza stampa di presentazione di Gianmatteo Manghi. L’anno prossimo “vedrete i primi prodotti di questo filone nuovo, che si appoggeranno su una tecnologia già esistente, che è Duo, che abbiamo acquisito recentemente”. Duo è un’azienda che si occupa di servizi di autenticazione multi-factor e di accesso sicuro. Ora, con il nome Cisco Duo, è diventata parte integrante della piattaforma di cybersicurezza ‘zero trust’ di Cisco, e gestirà una modalità di autenticazione per l’accesso senza password alle applicazioni cloud tramite una chiave di sicurezza o attraverso il riconoscimento biometrico. L’autenticazione senza password di Duo fa parte della piattaforma zero trust di Cisco, che garantisce l’accesso a qualsiasi utente, da qualsiasi dispositivo, a qualsiasi applicazione o ambiente
IT: saranno integrate ad esempio applicazioni Apple come Faceid e Touchid, ma anche Windows Hello. Il prodotto è progettato per essere indipendente dall’infrastruttura, aprendo la strada a un futuro senza password e garantendo alle imprese la protezione di qualsiasi combinazione di applicazioni cloud e on-premises senza bisogno di più prodotti di autenticazione. L’azienda, anche presentando Cisco Duo, ripete che il processo non sarà veloce, perché sia i sistemi informatici che gli utenti umani hanno bisogno di cambiamenti graduali. Quello attuale, dice Mercadante, è comunque ancora “un mondo governato dalle password”. Il loro abbandono non sarà quindi un processo breve. “Ci aspettiamo una transizione progressiva”, per entrare in questo “nuovo mondo”. Nonostante ci sia chi, proprio come il Ceo di Cisco Italia, in quel mondo non vede l’ora di entrarci.