Bring your own identity o BYOI è un approccio all’autenticazione digitale attraverso il quale nome utente e password di un soggetto sono gestiti da una terza parte. Gartner ha inserito bring your own identity all’interno di Hype Cycle for Emerging Technologies, 2020 nella fase più dura da superare e di disillusione in cui occorre una riflessione più approfondita sulla sua evoluzione stimando un arco di tempo tra due e cinque anni per l’adozione diffusa o meno della tecnologia.
Eppure, la gestione di più identità digitali per accedere ad un numero sempre più crescente di servizi online risulta spesso complessa per le persone. Si stima che circa il 45% degli utenti rinuncia al processo di registrazione se è troppo macchinoso.
Ogni giorno gli utenti si trovano a gestire molti account, password o token. ID che spesso non sono interoperabili e sono in costante aumento con il crescere della digitalizzazione. In più, le persone vogliono poter creare una identità digitale sicura ma anche semplice senza dover ricordare un numero sempre maggiore di account e password e le organizzazioni che stanno spostando la propria attività sul web vogliono un approccio immediato per identificare gli utenti.
Ecco perché pensare alla gestione tramite bring your own identity è immediato visto che permette di utilizzare la stessa identità digitale per accedere a più servizi da soggetti diversi e come detto, senza dover creare una nuova identità.
Le origini di Bring your own identity
Bring your own identity è strettamente legata all’Identity Asset Management (IAM) in grado di gestire, facilitare e rendere sicuri gli accessi ad applicazioni o dati degli utenti. La diffusione delle tecnologie cloud, mobile e dell’internet of things ha portato da una parte all’aumento dei rischi di attacchi informatici e la necessità di ridurre questi rischi e dall’altra, ha spostato l’interesse delle aziende dal luogo in cui si trovano dati e risorse verso chi ha accesso a questi dati o risorse. Un approccio molto vicino a BYOI.
Una prima tendenza a fornire una certa libertà ai dipendenti riguardo al tipo di tecnologia da utilizzare per mettere al primo posto le esigenze delle persone e migliorare la produttività si è avuta con l’introduzione del Bring your own device (BYOD) insieme al bring your own phone (BYOP) e bring your own PC (BYOPC).
BYOD permette ai dipendenti di utilizzare i propri device e dispositivi personali nei luoghi di lavoro. Un sistema definito da policy e soluzioni di sicurezza come VPN, autenticazione a due fattori, containerizzazione e soluzioni sandbox. Da qui, il concetto si è largamente esteso fino a parlare di Bring your own everything che a sua volta include:
- Bring your own device (BYOD)
- Bring your own attribute (BYOA)
- Bring your own apps (BYOA)
- Bring your own encryption (BYOE)
- Bring your own identity (BYOI)
- Bring your own technology (BYOT)
- Bring your own network (BYON)
- Bring your own wearables (BYOW)
- Bring your own cloud (BYOC).
Tornando all’utilizzo di bring your own identity, negli ambienti di lavoro consentire a una terza parte di assumersi gli oneri di sicurezza, privacy e conformità associati a IAM riduce il sovraccarico amministrativo, semplifica la gestione dei dati e abbassa i costi di archiviazione.
Perché bring your own identity
Tra i motivi della diffusione di BYOI ci sono:
- L’aumento di servizi digitali che richiedono specifiche procedure di identificazione.
- La combinazione dell’uso personale ed aziendale di dispositivi e applicazioni.
- L’aumento di servizi basati su cloud e la nascita del modello as a service.
- La difficoltà a memorizzare troppi account e password da parte degli utenti.
- La crescita delle grandi piattaforme Internet visto il numero di persone che dispone di un account e di almeno un social network che può essere facilmente utilizzato per scopi di autenticazione.
- Il numero di regolamenti in materia di sicurezza e privacy dei dati.
Inoltre, solo il 24% delle persone utilizza un gestore unico di tutte le password perché deve essere installato su tutti i dispositivi utilizzati e deve essere sempre sincronizzato per avere un aggiornamento continuo.
Chi c’è intorno alla tecnologia BYOI
Tre sono gli attori principali:
- Provider di identità, responsabili dell’emissione, archiviazione e mantenimento dell’identità digitale.
- Utenti che scelgono quale identità utilizzare e per quale servizio.
- Fornitori di servizi che consentono l’accesso agli utenti tramite identità fornita da altrettanti fornitori di identità di terze parti.
Le soluzioni presentate da ogni tipologia di provider tendono a presentare caratteristiche diverse in termini di fiducia, user experience e frequenza di utilizzo, ma tutte prevedono la possibilità di accedere ai servizi online senza creare ogni volta una nuova identità digitale. ll panorama competitivo di BYOI è composto da:
- Social Media providers
- Governments
- Financial Institutions or banks
- Mobile network operators
- Digital identity companies
- Digital Identity networks
IDaaS verso BYOI
Le società di identity-as-a-service o IDaaS forniscono autenticazioni basate su cloud o su sistemi di gestione delle identità e grazie al modello X-as-a-service le funzionalità vengono fornite ad una azienda tramite una connessione remota da un provider di terze parti. In questo senso, possono considerarsi un’alternativa al BYOI così come possono rappresentare un motivo in più per cui i fornitori di servizi devono affidarsi a terze parti per gli accessi.
Bring your own identity: i rischi e i vantaggi
Se da una parte il trasferimento a terzi della gestione delle credenziali delle identità semplifica l’intera procedura di accesso per gli stessi utenti, dall’altra, potrebbe comunque creare problemi di privacy e di possibili furti di identità. Infatti, per una maggiore tutela e nonostante questo approccio adotti funzionalità di single sign-on, molti siti internet rendono la portabilità dell’identità un’opzione e non un requisito necessario. Al contrario, il risparmio di tempo e la semplicità di utilizzo sono vantaggi che fanno in modo che l’utente superi una iniziale diffidenza o mancanza di fiducia.
Un ulteriore e importante vantaggio è che l’utente non può essere tracciato.
Infatti, i sistemi basati su BYOI permettono di riutilizzare le stesse password in modo sicuro, poiché il provider di identità di terze parti o IdP passa gli attributi di identità ma non le informazioni sulla password al provider di servizio. In pratica, chi fornisce l’identità non è a conoscenza di chi fornisce il servizio.
Criticità e punti di riflessione
Abbiamo visto come l’utilizzo di soluzioni BYOI può avvenire attraverso diversi tipi di fornitori. Nella maggior parte dei casi, il provider di identità è un’azienda di social media come Facebook, Google, LinkedIn, Twitter o Amazon o un accesso aziendale come Office 365 o G-Suite. Ma anche ID di banche, reti mobile e fornitori per identità digitali governative come potrebbe essere SPID, ad esempio. Le identità legate ai social media sono quelle che hanno privilegiato la facilità di utilizzo e la user experience rispetto alla complessità dell’autenticazione.
Le soluzioni con un livello di garanzia più alto sono meno semplici e veloci da utilizzare e sono anche meno utilizzate. Questo significa che il livello di adozione dell’identità digitale in futuro potrebbe essere frammentato. Una strategia da adottare è legata all’utilizzo di soluzioni complementari come tra fornitori di identità governative associandole a soluzioni BYOI a bassa garanzia ma convenienti e diffuse come quelle fornite dai social media. I fornitori pubblici e quelli privati dovranno in qualche modo cooperare e collaborare in modo da creare sinergie e strategie comuni.