Come passare all'autenticazione senza password in 3 righe di codice
Nel mondo digitale, è scontato che il miglioramento della sicurezza di un sistema comporti inevitabilmente un degrado dell'esperienza dell'utente. Tuttavia, scegliendo la giusta soluzione di autenticazione multi-fattore (MFA), è possibile semplificare l'esperienza quotidiana di login degli utenti e beneficiare di un'implementazione senza alcuno sforzo di sviluppo significativo.
Autore: Romain Breysse, ingegnere di sicurezza informatica
Dopo aver lavorato per 10 anni nel settore delle telecomunicazioni su numerosi prodotti in diverse posizioni (IT, marketing, prevendita) in Francia e all'estero, Romain si è unito a inWebo per conoscere meglio il dinamico settore informatico.
In qualità di ingegnere prevendita di inWebo, Romain aiuta i nostri clienti e potenziali clienti a implementare la nostra soluzione di autenticazione forte e ad applicare le migliori pratiche in termini di difesa informatica.
Nel mondo digitale, è scontato che il miglioramento della sicurezza di un sistema comporti inevitabilmente un degrado dell'esperienza dell'utente.
La nostra esperienza quotidiana lo dimostra ogni volta che accediamo con la famosa password: ogni anno dobbiamo aumentare la lunghezza delle nostre password, aggiungere caratteri esotici, minuscole, maiuscole ecc...., insomma, aumentare la complessità per rafforzare la sicurezza dei nostri accessi.
Non abbiamo scelta: in questo mondo connesso, gli attacchi informatici si moltiplicano e fanno notizia ogni settimana: social engineering, fuga di password, phishing, malware, ransomware ecc. È necessario adottare misure drastiche all'interno delle aziende per combattere queste nuove minacce. La sicurezza informatica è diventata indispensabile.
Così, quando il CISO annuncia che aumenterà la sicurezza, gli utenti si spaventano, tremano: cosa dovremo fare domani per accedere alle nostre e-mail:
- Digitare una password di 20 caratteri? Qualcuno mi aiuti per favore!
- Usare una chiave fisica in più? Ho già abbastanza chiavi!
- Sicurezza ZeroTrust? Non avrò accesso a nulla?
- Una politica senza password? Ma dov'è la sicurezza?
- O aggiungere l'autenticazione a più fattori per tutti gli accessi? Qual è questo nome barbaro, sarà peggiore della password? ... No!
In questo articolo spiegheremo che questi timori non sono inevitabili e vi mostreremo, con una dimostrazione tecnica, come inWebo MFA possa effettivamente migliorare l'esperienza dell'utente aumentando al contempo la sicurezza!
Basta con le password. Viva il senza password!
Tutti usano una password; nel corso degli anni abbiamo imparato ad accedere con la combinazione login/password.
Tuttavia, con lo sviluppo della potenza di calcolo dei computer e la messa in rete di tutte le applicazioni, il livello di sicurezza si sta abbassando di giorno in giorno: proteggere i conti bancari e dei clienti con una semplice password è imprudente.
Naturalmente, possiamo sempre scegliere una password più lunga e/o più complessa per aumentare la sicurezza, ma l'impatto negativo è immediato sull'esperienza dell'utente.
Questo metodo non è sostenibile nel tempo e già oggi mostra i suoi limiti sia umani che tecnici.
L'autenticazione a più fattori (MFA), una protezione essenziale, rende la customer experience più complessa?
Di fronte alle nuove minacce, le normative si fanno più stringenti per proteggere l'accesso in modo più efficace. In risposta, stanno emergendo tecnologie in grado di sostituire la password, come l'autenticazione forte.
L'autenticazione forte consiste nel combinare diversi fattori per confermare l'identità di un utente, generando una password unica (OTP o One Time Password) per ogni connessione:
Cosa possiedo
un fattore di possesso unico per ogni utente: un token
Quello che so
un fattore di conoscenza noto solo all'utente
Cosa sono
un fattore biometrico, come l'impronta digitale, necessariamente unico per l'utente
Ad esempio, la normativa europea PSD2 impone alle banche e ai rivenditori online di proteggere l'accesso con una forte autenticazione dei clienti il prima possibile (la scadenza viene regolarmente posticipata perché gli operatori non sono ancora pronti). Finora le banche hanno rafforzato la sicurezza inviando una password unica via SMS, ma anche questa tecnica mostra i suoi limiti in termini di sicurezza e facilità d'uso.
Su Internet fioriscono numerosi articoli che sottolineano la complessità di MFA (autenticazione a più fattori), che rischia di spingere gli utenti a rinunciare agli acquisti online, danneggiando i profitti dei rivenditori online.
Questo timore è infondato; inWebo ha sviluppato la risposta giusta: l'autenticazione a più fattori senza password, con un livello di sicurezza molto elevato e un'esperienza utente ancora più semplice della combinazione login/password.
Come la soluzione MFA senza password di inWebo semplifica l'esperienza dell'utente
Senza password: E se si potesse sostituire la password con un semplice codice PIN e raggiungere un livello di sicurezza superiore?
Oggi, quotidianamente, il vostro utente digita una password di 10 caratteri come "Im_FrgttngMyPwd? "Questo non è molto pratico.
Domani, con inWebo, passate alla modalità senza password e consentite ai vostri utenti di accedere semplicemente digitando un codice PIN facile da ricordare (un fattore di conoscenza di 4 o 6 cifre) all'interno del loro fattore di possesso, come il nostro token del browser che sarà il browser predefinito del vostro utente.
In breve, l'autenticazione multi fattore senza password di inWebo MFA
Cosa possiedo
un fattore di possesso unico per ogni utente: un token
Quello che so
un fattore di conoscenza noto solo all'utente
Come è possibile? Come si può garantire la sicurezza dell'accesso con un codice PIN di sole 4 cifre?
È importante capire che le 4 cifre sono solo uno dei fattori necessari per l'autenticazione. Questi 4 numeri da soli non servono a nulla. Possono essere utilizzati solo sul fattore di possesso creato dall'utente: nell'esempio precedente un token del browser scelto e creato durante la fase di iscrizione*.
L'inserimento del fattore di conoscenza è possibile solo su un browser trasformato in fattore di possesso, ovvero un browser fidato.
D'altra parte, stiamo parlando di un fattore di conoscenza e non di una password classica: il fattore di conoscenza non viene trasmesso in rete a ogni autenticazione e non viene memorizzato in un database classico. Di conseguenza, non può essere attaccato come una normale password.
Come fa un utente a creare il suo fattore di possesso, il suo token?
Per potersi autenticare, l'utente dovrà fare un passo in più per creare il suo fattore di possesso. Questo passaggio deve essere fatto solo la prima volta: nella vita di tutti i giorni, l'utente dovrà solo inserire il suo codice PIN.
Questa procedura, chiamata iscrizione, dura circa 1 minuto: l'utente riceverà, ad esempio, un'e-mail con un link, sul quale dovrà fare clic. Si aprirà quindi una nuova pagina sul suo browser predefinito per chiedergli di impostare il suo fattore di conoscenza.
È finita. È finita. L'utente ha appena definito i suoi due fattori: creando sia un token del browser (il suo browser predefinito) sia il suo fattore di conoscenza. Veloce ed efficiente.
Ora può autenticarsi solo attraverso il browser specifico che è diventato il suo fattore di possesso, digitando il suo fattore di conoscenza.
Prima / Dopo la password senza password di inWebo MFA
Dimenticare il mal di testa da password
Semplificare l'esperienza di login
Ecco come l'autenticazione a più fattori di inWebo semplifica drasticamente l'esperienza dell'utente.
Come ulteriore vantaggio, abbiamo riscontrato che i team di assistenza sono stati meno sollecitati da richieste di reimpostazione di password dimenticate o bloccate. Gli utenti commetteranno inevitabilmente meno errori con un semplice fattore di conoscenza sotto forma di codice PIN da ricordare.
Ci guadagnano tutti: utenti e team di assistenza IT.
Come migrare all'autenticazione multi-fattore senza password in un batter d'occhio
Oggi si usa una coppia login/password per consentire agli utenti di autenticarsi. Tecnicamente si tratta di un semplice modulo HTML che consente di convalidare i dati all'interno del database.
Per trasformare questo modulo in un'autenticazione a più fattori senza password, è sufficiente:
- aggiungere 3 righe di codice,
- aggiungere una funzione javascript,
- per nascondere il modulo originale
e poi effettuare una chiamata API alla nostra piattaforma.
Una riga per inizializzare la libreria inWebo:
Una funzione javascript che avvia il token del browser inWebo al caricamento della pagina.
inWebo genera un OTP
inWebo token del browser (Deviceless MFA) genera un OTP
Il modulo riceve il OTP
inWebo conferma la OTP
A questo scopo è disponibile la nostra documentazione online con esempi di codice per iniziare più rapidamente.
Migliorate l'esperienza di login e passate senza sforzo al passswordless
Quindi, non ci sono più scuse per non proteggere le vostre applicazioni. Potete scegliere se continuare con una password insicura, noiosa da usare per i vostri utenti e rimanere esposti a tutti gli attacchi informatici esistenti OPPURE rafforzare la vostra sicurezza con un'autenticazione forte e semplice per i vostri utenti!
I due messaggi da ricordare sono:
Semplifica l'esperienza dell'utente
L'autenticazione a più fattori non complica l'esperienza quotidiana dell'utente. Al contrario, la semplifica.
Facile e veloce da implementare
inWebo MFA può essere implementato in modo molto efficiente senza alcuno sforzo di sviluppo significativo.
Webinar
Autenticazione senza password: un modo molto semplice per rendere i vostri utenti felici e sicuri
