Verso l'autenticazione senza smartphone
Gli smartphone sono da tempo consigliati per la loro comodità e non si può negare il loro enorme impatto sull'esperienza dell'utente. Come parte di una soluzione di autenticazione a più fattori, pur essendo una scelta popolare, l'esperienza ha dimostrato che potrebbero non essere il modo più sicuro per proteggere i sistemi e i dati. Diamo un'occhiata più da vicino a Smartphoneless.
Nel 2021 gli attacchi informatici hanno raggiunto un livello record e ogni 39 secondi¹ viene segnalato un nuovo attacco. È ormai più che chiaro che l'autocompiacimento non è più un'opzione. se si vuole rimanere all'avanguardia quando si tratta di sicurezza informatica. Allora perché abbandonare l'autenticazione mobile e passare a quella Smartphoneless?
Quali sono le sfide dell'autenticazione mobile?
Sfida 1: L'autenticazione mobile richiede di possedere o fornire un telefono cellulare.
Innanzitutto, l'autenticazione mobile richiede che gli utenti abbiano uno smartphone. Quindi, per l'autenticazione dei clienti finali, non è sempre un'opzione adatta, perché non tutti hanno uno smartphone compatibile. Per quanto riguarda l'autenticazione dei dipendenti e dei partner, le aziende resistono sempre di più alla fornitura di smartphone, con l'obiettivo di ridurre i costi e i problemi logistici.
Sfida 2: l'autenticazione mobile è vulnerabile a determinati attacchi informatici
Sono state espresse molte preoccupazioni sul rischio di compromissione dei dispositivi mobili. Quando ci si autentica tramite SMS OTP, esiste il rischio di recupero delle informazioni tramite SMiShing (attacco di phishing via SMS). Per quanto riguarda l'autenticazione tramite l'app Authenticator, si tende a dimenticare gli attacchi di fatica MFA. Un attacco informatico che induce gli utenti a consentire l'accesso al dispositivo a causa di un sovraccarico di notifiche push.
Nel 2020, gli attacchi di phishing via SMS (SMiShing) sono aumentati del 37%. A seconda del numero di dispositivi mobili, questo tipo di attacco può costare fino a 150 milioni di dollari².
Che cos'è l'autenticazione senza smartphone?
Vi starete chiedendo cosa intendiamo per autenticazione senza smartphone. Semplicemente, si tratta di un modo per verificare l'identità di un utente senza ricorrere allo smartphone. È un modo alternativo di utilizzare l'autenticazione a più fattori (MFA) quando non si ha o non si vuole avere uno smartphone come parte del processo di autenticazione/login. Questo può essere fatto combinando:
- un fattore di conoscenza (come un PIN) o un fattore di ereditarietà (come un'impronta digitale),
- con un fattore di possesso diverso da quello mobile.
La maggior parte delle volte pensiamo al token per il desktop? Tuttavia, sarete sorpresi di sapere che esistono altre alternative, come ad esempio il token del browser.
Non trascurate i vantaggi derivanti dall'eliminazione dei vincoli legati alle apparecchiature che accompagnano l'autenticazione mobile.
Perché passare all'autenticazione senza smartphone? Quali vantaggi?
Un numero sempre maggiore di organizzazioni sta iniziando a passare all'autenticazione senza smartphone, perché in molti casi lo smartphone stesso può causare problemi, non solo per gli utenti, ma anche per gli sviluppatori e gli integratori.
Infatti, consentendo agli utenti di autenticarsi e di accedere alle applicazioni, alla rete e ai dati senza l'ausilio di un dispositivo mobile, si ottengono una serie di preziosi vantaggi:
#1
Non è necessario che gli utenti si affidino a un dispositivo mobile.
Non dipendere da uno smartphone significa non essere legati a un'apparecchiatura specifica e aggiuntiva rispetto al dispositivo a cui si sta cercando di accedere. Inoltre, immaginate che il vostro cellulare si scarichi, che esperienza di login disastrosa...
#2
Riduzione dell'onere logistico per i team IT
Questo vantaggio è particolarmente importante per l'accesso dei dipendenti. Infatti, da un punto di vista amministrativo, comporta una minore logistica per l'equipaggiamento e l'aggiornamento delle apparecchiature degli utenti.
#3
Ridurre i costi
La riduzione del carico di lavoro e dei requisiti delle apparecchiature si traduce in una riduzione dei costi per le aziende.
#4
Proteggersi dagli attacchi mirati
L'autenticazione senza smartphone consente di proteggersi da alcuni attacchi come il phishing via SMS (SMiShing) o gli attacchi di fatica MFA eseguiti tramite push mobile.
L'autenticazione senza smartphone diventerà il nuovo standard?
Non sorprende che le organizzazioni vogliano implementare cambiamenti per ridurre il livello di rischio e migliorare i processi aziendali.
Gartner prevede che entro la fine del 2022, le aziende digitali che offrono percorsi di autenticazione semplici e senza intoppi avranno un fatturato superiore del 10% rispetto ai concorrenti che non lo fanno.
Ecco perché inWebo ha ideato un'alternativa software all'autenticazione tramite smartphone. Questa soluzione è infatti quella che noi chiamiamo "Deviceless" e si basa sul browser dell'utente come dispositivo affidabile per l'autenticazione e l'accesso alle applicazioni in modo semplice, sicuro e senza problemi.
Una cosa è certa: gli utenti si adatteranno rapidamente alla libertà di non essere legati al proprio cellulare per potersi connettere alle proprie applicazioni e ai propri dati.
Autenticazione senza dispositivo o senza smartphone?
L'autenticazione senza dispositivo è un'autenticazione senza smartphone. In un certo senso, è una sorta di sottocategoria, poiché è ancora più specifica in quanto si basa sul token del browser. Può essere effettuata da qualsiasi dispositivo e con qualsiasi browser. Non deve essere necessariamente il dispositivo dell'utente o dell'azienda. A ben vedere, questa tecnologia Deviceless aggiunge 3 ulteriori vantaggi all'elenco precedente.
I conteggi di Deviceceless + 3 vantaggi rispetto a Smartphoneless
#5
Deviceless facilita e protegge il BYOD ("Bring Your Own Device").
Le abitudini lavorative stanno cambiando e sempre più computer personali vengono utilizzati per scopi aziendali. Deviceless elimina i rischi di sicurezza associati al BYOD e protegge tutti gli accessi alle applicazioni e alle reti interne. Non sono necessari smartphone o laptop aziendali, ma solo un browser.
#6
Facile da configurare e utilizzare
Inoltre, questo nuovo metodo di autenticazione degli utenti non richiede alcuna installazione e può essere implementato su larga scala in pochi clic. Una vera manna per gli integratori.
#7
Un ottimo modo per fornire connessioni multiutente sicure
Lo stesso browser può essere utilizzato da utenti diversi che avranno tutti la propria autenticazione. Per le organizzazioni che si affidano a computer condivisi, questo è un grande vantaggio, in quanto garantisce un elevato livello di sicurezza e la possibilità di identificare ogni singolo utente che accede al sistema.
La tecnologia MFA di inWebo è stata progettata per garantire che, anche in caso di manipolazione da parte di terzi, sia impossibile utilizzarla: invece di utilizzare una semplice chiave crittografica, come fanno tutte le altre soluzioni MFA , inWebo ha reso le sue chiavi dinamiche e casuali. Una tecnologia unica e brevettata.
Con il token del browser, le chiavi crittografiche sono memorizzate nel browser dell'utente anziché sul suo computer. Queste chiavi cambiano in modo casuale ogni volta che l'utente genera un OTP nel momento in cui vuole connettersi al sistema.
In questo modo, una volta utilizzate, le chiavi non possono essere usate di nuovo, quindi sono completamente inutili per chiunque cerchi di "hackerare" il sistema. L'identità di ogni utente è protetta e la probabilità di violazioni della sicurezza è drasticamente ridotta, soprattutto perché il token Browser è il più sicuro contro gli attacchi di phishing.
Il futuro sarà senza computer
È quindi probabile che si passi a un futuro senza smartphone per quanto riguarda l'autenticazione? Anche se non abbiamo la sfera di cristallo, i segnali vanno sicuramente in questa direzione.
Siamo tutti alla ricerca di modi innovativi per garantire la sicurezza dei nostri sistemi e processi, ma vogliamo anche assicurarci che i nostri utenti abbiano un'esperienza semplice.
Un processo di autenticazione che consenta di ottenere entrambe le cose, oltre a ridurre il phishing via SMS, ridurre i costi e la logistica ed essere semplice da configurare e utilizzare, sembra sicuramente qualcosa su cui vale la pena investire.
Smartphoneless è un modo di autenticare, cioè di verificare l'identità di un utente, senza l'uso di uno smartphone. È un modo alternativo di utilizzare l'autenticazione multifattoriale (MFA).
L'autenticazione senza smartphone avviene tramite il sito MFA utilizzando un fattore di conoscenza (PIN) o un fattore intrinseco (impronta digitale) combinato con un fattore di possesso diverso dal cellulare. Nella maggior parte dei casi, l'autenticazione smartphonless avviene tramite un token per desktop o laptop. Ma esiste anche una tecnologia alternativa che consente l'autenticazione con un token del browser.
Nel caso dell'autenticazione tramite SMS OTP , l'eliminazione dell'uso dei telefoni cellulari, grazie in particolare a Smartphoneless, permette di evitare i rischi di attacchi di phishing tramite SMS, o "smishing".
