Il vecchio sistema di identificazione basato su nome utente (ID) e password lunghe pochi caratteri ha fatto il suo tempo. Il metodo, basato sull’utilizzo di programmi software, è stato reso vulnerabile da tecniche hacker quali il password cracking, il phishing o lo screen scraping.
Secondo le più recenti ricerche, la maggioranza delle violazioni dei sistemi informatici mira oggi al “furto di identità”. “La via attraverso la quali i cybercriminali tendono a violare i sistemi informatici delle aziende target per raggiungere i propri obiettivi – sottolinea Andrea Toigo, EMEA Territory IOTG Sales Manager di Intel – è sempre più quella dell’utilizzo delle credenziali, piuttosto che dagli attacchi diretti agli specifici sistemi IT su cui si trovano i dati e le applicazioni. Non importa più tanto dove si trovino i server, i dati e le applicazioni, quando che sia possibile arrivare ad essi attraverso le identità digitali degli utenti e le autorizzazioni ad esse associate”.
Quando l’utente diventa la propria password
Negli ultimi anni una più efficace tecnica di identificazione e autorizzazione agli accessi degli utenti si è concretizzata sotto forma della Autenticazione Multifattoriale. In questo caso, invece di utilizzare solo nome utente e password, gli utenti sono obbligati a confermare la propria identità mediante l’ulteriore inserimento di una one-time password (OTP), generata da un token, oppure di un PIN breve, ma protetto da un complesso ed efficace sistema di riconoscimento che abbraccia device e sistema di destinazione. Altri fattori utilizzati sono la presenza del dispositivo dell’utenti all’interno di una determinata area di copertura Bluetooth, le impronte digitali o il riconoscimento facciale.
“Il ricorso all’MFA – fa notare Toigo – tende a rendere l’utente la propria password e a ridurre sensibilmente l’utilizzo non autorizzato di identità digitali. Lo svantaggio è che se questa metodologia viene implementata in modo esclusivamente software-based richiede molto lavoro di integrazione e configurazione da parte dell’IT, non è sempre facile da apprendere da parte degli utenti, richiede ancora molta memorizzazione di password e PIN”. Il fatto che tutto faccia affidamento solo sul sistema operativo dei computer (cioè sull’ambiente software), facilita agli hacker il furto di dati utili durante connessioni rallentate o che rendono in chiaro informazioni sensibili a causa di bug o i problemi di interoperabilità fra diversi software installati. “Nella migliore delle ipotesi – aggiunge il manager di Intel – anche se non c’è stato un attacco hacker, può succedere che l’utente resti tagliato fuori dalla rete e che debba rinunciare a leggere l’email, perdendo, magari, un’importante opportunità di business”.
Per aiutare a ovviare a questi problemi e abilitare servizi innovativi di autenticazione, Intel ha potenziato la sua Intel Authenticate Solution (IAS) con nuove funzionalità hardware-based che possono essere sfruttate dai dispositivi che utilizzano i processori Intel Core vPro e Intel Xeon dall’ottava generazione in poi. “La soluzione consente di memorizzare nelle ‘casseforti’ inviolabili dei processori molti dei dati relativi alle identità e alle policy di combinazione multi-fattoriali definite dai responsabili IT e della security”, spiega Toigo. I processori, inoltre, sfruttano in modo nativo e performante protocolli di sicurezza nelle loro reciproche comunicazioni. Per effettuare attività quali, per esempio, la registrazione, gli utenti non sono più obbligati a eseguire complesse operazioni o chiedere l’intervento dell’IT. Sempre per gli utenti, diminuiscono le password da memorizzare e modificare, e il rischio di interruzioni di produttività. Al contempo, l’IT può sentirsi più tranquilla circa la sicurezza dell’ambiente digitale ed avere aver più tempo per iniziative più strategiche. Eventuali nuove policy, possono essere implementate su tutti i dispositivi con IAS in modo rapido e flessibile, utilizzando alcuni dei più comuni tool di IT management. Un bel vantaggio a fronte dei requisiti sempre più stringenti delle normative come il GDPR.