Sono passati più di vent'anni da The Bourne Identity, il successo al botteghino basato sul personaggio immaginario degli anni '1980 creato dallo scrittore Robert Ludlum: Jason Bourne. Oggi, è diventato parte integrante della celebre saga di Bourne, con quattro sequel. Il primo film, memorabile e indimenticabile per gli appassionati del genere, era incentrato sull'identità di Bourne.
Sebbene l’ultimo thriller emozionante della serie Bourne sia stato pubblicato nel 2016, la mega domanda sull’identità rimane ancora oggi. E per le aziende, l'importante è proteggere l'identità online quando si accede ai dispositivi per lavoro.
Che cos'è l'autenticazione FIDO (Fast IDentity Online)?
Come possono le organizzazioni essere sicure al 100% dell'identità di un utente che tenta di accedere da un dispositivo? I processi di autenticazione utente convenzionali coinvolgono credenziali di accesso in cui le password rappresentano il pilastro. Ha funzionato bene per molti anni.
Ma con oceani di dati nel cloud e la penetrazione di tecnologie all’avanguardia nei dispositivi mobili, le password sono sufficienti? Non dimenticare di aggiungere al mix anche il veleno dei criminali informatici. Hai la risposta: le password non bastano!
È tempo che le organizzazioni smettano di essere ostinate o inesperte in ambito digitale. È tempo di abbracciare una nuova era: il futuro delle password, l'era senza password. È qui che FIDO è destinato a svolgere un ruolo di primo piano. E FIDO non è una novità appariscente: tutto è iniziato nel febbraio 2013 con la nascita della FIDO Alliance.
FIDO è l'acronimo di Fast IDentity Online e comprende una serie di specifiche indipendenti dalla tecnologia per consolidare l'accesso e l'autenticazione sicuri degli utenti. L'unico obiettivo è sviluppare un robusto meccanismo di protezione di dati, dispositivi ed endpoint ed eliminare gradualmente l'eccessiva dipendenza dalle password.
L'Alleanza FIDO è composta da importanti membri del consiglio, tra cui Amazon, Google, Apple, Microsoft, Meta, Lenovo, Intel, Qualcomm, Samsung, PayPal, Mastercard, Visa, Thales e Wells Fargo, solo per citarne alcuni. Stabiliscono inoltre specifiche e standard di sicurezza per la conformità FIDO.
Sebbene FIDO abbia una connotazione diretta su Identity & Access Management (IAM), gestione dei dispositivi mobili (MDM) ha un grande significato anche nel mondo senza password di domani in collaborazione con FIDO e IAM.
Perché senza password?
Un compito semplice per te (obbligo o verità, forse). Incrociati il cuore e giurami che mai in vita tua hai cliccato su a "Ha dimenticato la password" collegamento. Sii onesto, per favore! Contestualizziamo meglio con una citazione da The Bourne Identity—"Ciò che un uomo non riesce a ricordare non esiste per lui. "
Reimpostare le password dimenticate è piuttosto semplice ed è diventata un'abitudine per molti. Non ci preoccupiamo di ricordarle e, con tutta la tecnologia e gli impegni che ci circondano, ricordare le password non è certo una priorità. Dimenticare le password non è punibile per legge. Eppure, è innegabile la nostra eccessiva dipendenza dalle password.
Le organizzazioni e i loro team IT e di sicurezza si sono inoltre resi colpevoli di fare eccessivo affidamento sull’autenticazione tramite password per l’accesso degli utenti a dispositivi o dati. Questo eccessivo affidamento o dipendenza dalle password ha conseguenze evidenti e comprovate. Secondo Verizon rapportoNel 2022, l'82% delle violazioni di dati è stato causato da password rubate o deboli. Questo dato evidenzia chiaramente la necessità di abbandonare le password.
Perché la sicurezza FIDO e come funziona l'autenticazione FIDO?
Ci sono molte ragioni che rendono un obiettivo convincente per le organizzazioni sfruttare la straordinaria sicurezza FIDO al suo massimo e vasto potenziale.
Il processo di autenticazione FIDO è rapido e semplice.
- Registra il dispositivo (smartphone, tablet, laptop, ecc.) a un servizio conforme a FIDO.
- Ottieni una chiave privata univoca per ogni app abilitata a FIDO (backend)
- Ad ogni tentativo di accesso all'app, autentica la chiave privata
La chiave privata viene mascherata tramite sistemi di sicurezza basati sul dispositivo, come la biometria (impronta digitale o riconoscimento facciale) o il PIN. Con un recente sviluppo di FIDO, Google consente ora agli utenti di accedere e autenticare i propri account utilizzando chiavi private (passkey) anziché password. In questo modo, FIDO eleva il livello di autenticità e fiducia, poiché gli utenti hanno il controllo assoluto delle proprie credenziali (digitali) e della propria identità.
- FIDO utilizza la crittografia a chiave pubblica e l'autenticazione a più fattori (MFA) per autorizzare gli utenti ad accedere ad app o siti web. Questo elimina alcune pericolose vulnerabilità come gli attacchi Man-in-the-Middle (MITM) e il phishing.
- L'autenticazione FIDO protegge anche la sicurezza del dispositivo e dei dati, poiché le chiavi private menzionate in precedenza sono memorizzate sul dispositivo e non su un server. Pertanto, un attacco malevolo alla rete o a un server cloud non può compromettere queste chiavi private.
- FIDO isola l'implementazione del protocollo basata su API, riducendo gli sforzi degli sviluppatori nella creazione di ambienti di accesso sicuri per dispositivi mobili con hardware e sistemi operativi diversi.
L'autenticazione FIDO incontra MDM
La gestione fluida dei dispositivi e la sicurezza ferrea continueranno a essere in prima linea nelle organizzazioni che distribuire una soluzione di gestione dei dispositivi mobili (MDM).Le funzionalità del software MDM hanno subito una costante evoluzione a causa della diffusa eterogeneità di dispositivi e sistemi operativi negli ambienti di lavoro moderni e in quelli remoti/ibridi.
L’evoluzione della mobilità aziendale lascia molto spazio, attuale e futuro, alla tripla congiunzione menzionata all’inizio – IAM, MDM e FIDO – tutti con la prospettiva comune di invocare l’era delle password.
Politica del codice di accesso e sicurezza FIDO
Una delle funzionalità di sicurezza fondamentali di una soluzione MDM è la possibilità di impostare criteri di accesso personalizzati per i dispositivi gestiti, in base al livello di accesso dell'utente. È in questo ambito che l'integrazione di FIDO nei criteri di accesso offre notevoli opportunità. L'autenticazione FIDO può essere abilitata per i dispositivi che devono accedere ad applicazioni contenenti informazioni aziendali sensibili o dati dei clienti. Ciò garantirà che nessun utente sprovvisto di una valida autenticazione FIDO per una determinata applicazione avrà l'autorizzazione ad accedervi.
Geofencing e FIDO U2F
geofencing Si tratta di un'altra funzionalità MDM che può offrire molto di più grazie all'autenticazione FIDO. Il geofencing abilitato per la sicurezza FIDO può negare o consentire l'accesso ai dispositivi in base alla posizione fisica degli utenti. I protocolli UAF (Universal Authentication Framework) e U2F (Universal Second Factor) supportati da FIDO rendono ciò possibile.
Ecco come funziona U2F. Il secondo fattore di autenticazione in U2F per l'accesso autorizzato non è semplicemente un codice OTP inviato a un'e-mail o a un numero di telefono. Un token di sicurezza NFC (Near Field Communication) o USB da 4 cm funge da secondo fattore. Questo fattore si combina con la chiave privata del dispositivo conforme a FIDO per generare una coppia di chiavi. Questa coppia di chiavi viene inviata al backend dell'app. Il backend dell'app autentica la coppia di chiavi per consentire all'utente autorizzato associato di accedere all'app.
Gli amministratori IT possono impostare facilmente il geofence sui dispositivi dalla dashboard MDM. Gli utenti che tentano di accedere ad app sensibili ai dati basate su FIDO dai propri dispositivi al di fuori di questo geofence dovranno sottoporsi all'autenticazione U2F. Pertanto, senza il token di sicurezza NFC o USB, sarà impossibile accedere alle app aziendali sensibili (nessuna chiave di associazione, nessun accesso).
Rendi inutili i jailbreak con FIDO e U2F
I dispositivi rooted o jailbroken rappresentano una grave minaccia per la sicurezza dei dati aziendali. Mentre le attuali funzionalità MDM aiutano a prevenire la manomissione del sistema operativo, la sincronizzazione di MDM, FIDO e U2F può portare le cose a un livello superiore. Qualsiasi tentativo di offuscare il sistema operativo dei dispositivi può essere messo a tacere utilizzando U2F sui dispositivi gestiti che soddisfano la conformità FIDO.
Senza U2F e il token di sicurezza NFC o USB richiesto, i dispositivi rooted o jailbroken non possono accedere ad alcuna rete o app. In breve, tali dispositivi non avranno alcuna identità.
MDM e FIDO Sinergia per il bene
Le nostre identità sono fondamentali per ciò che siamo. Lo stesso vale per i dispositivi che utilizziamo per lavoro. I meccanismi di sicurezza dei dati sui dispositivi devono evolversi e la collaborazione tra una tecnologia come FIDO e un Soluzione MDM può fare miracoli per le organizzazioni. Il futuro è incentrato sulla protezione delle identità e dei dati degli utenti e dei dispositivi dallo sfruttamento.
FIDO e MDM insieme possono sconfiggere il furto di identità. Le attuali funzionalità MDM potrebbero non assorbire tutto ciò che è stato discusso sopra. Ma è possibile farlo prima, sicuramente non dopo, perché esistono già adeguate possibilità di MFA per gli amministratori IT che utilizzano una soluzione MDM.
In "The Bourne Identity", Jason Bourne era da solo alla ricerca della sua vera identità. Nel mondo reale, le partnership tra FIDO Alliance e i fornitori di soluzioni MDM aiuteranno le organizzazioni a eliminare la dipendenza dalle password, rafforzando così la sicurezza delle identità di dispositivi e utenti. FIDO e MDM possono e saranno dei veri e propri punti di svolta in termini di sicurezza e privacy, aprendo la strada a una nuova era di autenticazione online senza password: la nostra vera identità digitale.
