I commenti dei manager OneSpan e i dati di un sondaggio sull’uso delle passwordOneSpan
ha recentemente condotto un sondaggio sull’uso delle password quale metodo di autenticazione.
Dai dati del sondaggio emerge che:
- ancora troppe istituzioni, addirittura il 96%, continuano a fare affidamento su sistemi obsoleti basati sull’uso di username e password;
- il 44% è messo alla prova dall’uso di credenziali legittime smascherate da violazioni di dati e schemi di social engineering attuati in esecuzione di tentativi di account takeover;
- per superare i problemi di sicurezza affrontati, oltre il 60% degli intervistati prevede di investire, nel 2019, in nuove tecnologie di multifactor authentication, comprese quelle che si basano sulla biometria, sull’intelligenza artificiale e sull’apprendimento automatico.
- quasi un terzo degli intervistati desidera ottimizzare la customer experience per migliorare l’autenticazione e conservare i clienti esistenti.
Ecco, inoltre, le dichiarazioni rilasciate da alcuni manager di OneSpan in occasione del World Password Day 2019.
Will LaSala, Director of Security Solutions, Security Evangelist di OneSpan: “Le password sono la forma più semplice per mantenere la riservatezza su qualcosa, ma anche una delle maggiori sfide che le organizzazioni, comprese le istituzioni finanziarie, devono affrontare quando si tratta di autenticare un utente. Le organizzazioni non devono sentirsi obbligate a usare username e password per l’autenticazione poiché questo equivale a lasciare la porta del caveau aperta per i frodatori. La buona notizia è che ci sono molte ottime tecnologie che possono offrire un’autenticazione migliore e rimuovere completamente le password dalle nostre vite.
Ad esempio, oggi le istituzioni finanziarie possono esaminare specifiche situazioni e affermare “Questo è un orario insolito per questa persona per effettuare una transazione” o “È una transazione strana”. Il panorama per l’autenticazione è cambiato e il numero di dati è aumentato drasticamente. Questi progressi tecnologici consentono alle istituzioni di ridurre i falsi positivi e identificare in tempo reale frodi che potevano sfuggirgli.
Ogni transazione richiede lo stesso livello di analisi risk-based. E la promessa portata dalle ultime innovazioni nell’adaptive authentication è che essa fornirà il preciso livello di sicurezza per ogni transazione e al momento giusto. In un’era in cui i controlli di sicurezza sono maturati, e dove l’intelligenza artificiale e l’apprendimento automatico stanno alimentando capacità di analisi più efficaci, non bisogna più scegliere tra praticità e sicurezza del cliente. Si possono ottenere entrambi”.
Mark Crichton, Sr. Director of Security Product Management di OneSpan: “Il World Password Day non dovrebbe più riguardare solo le password. Tutti sappiamo dei problemi che circondano le password e il danno che credenziali deboli o riutilizzate possono causare. Invece, dovremmo usare questa ricorrenza per concentrarci sul quadro generale dell’autenticazione.
È chiaro che le password da sole non bastano più. Questo è il motivo per cui c’è una crescente necessità di far evolvere l’intelligenza, la forza e la complessità dei sistemi che operano a fianco delle password. Banche e anche aziende di altri settori devono acquisire maggiore titolarità nell’autenticazione per aiutare a rilevare accessi fraudolenti ai conti.
Di fatto, oggi la tecnologia che consente l’autenticazione senza password esiste: l’autenticazione biometrica è un esempio concreto, ma possiamo anche utilizzare tecnologie avanzate di riconoscimento dei dispositivi per sostituire le password. La sfida è data dal fatto che gli utenti sono abituati alle password ed eliminarle potrebbe causare preoccupazione. Una soluzione sensata è quella di fornire un riconoscimento positivo del dispositivo rispetto a un nome o a un identificativo dell’account.
Le normative sono un altro driver per l’uso di queste tecnologie. Abbiamo assistito a un cambiamento positivo nella protezione contro la compromissione delle password nel settore finanziario. Esempi sono la PSD2 e la FFIEC (Federal Financial Institutions Examination Council), che impongono alle organizzazioni finanziarie una verifica più attenta delle transazioni e dei dispositivi utilizzati per eseguirle, nonché di utilizzare qualcosa di più sicuro di una password statica“.
Frederik Mennes, Director of Product Security, Security Competence Center: “Sebbene il World Password Day rappresenti un buon momento per riflettere sull’importanza dell’autenticazione sicura per l’accesso ai nostri account online, è importante rendersi conto che stiamo passando da meccanismi di autenticazione basati su “qualcosa che conosci” (ad esempio una password) a “qualcosa che hai” ( es. uno smartphone) e “qualcosa che sei” (ad esempio, un’impronta digitale o il volto).
I meccanismi di autenticazione basati sul possesso e sui fattori biometrici hanno molti vantaggi: possono fare affidamento su algoritmi e protocolli crittografici forti e rimuovere la necessità per gli utenti di ricordare o gestire le password. In quanto tali, aumentano la sicurezza del processo di autenticazione dell’utente, aumentando allo stesso tempo la praticità”.