Google sceglie di introdurre l'autenticazione a più fattori (MFA) obbligatoria: come sarà il futuro delle password?
Mark Risher, direttore della gestione prodotti, dell'identità e della sicurezza degli utenti di Google, vorrebbe far diventare l'uso delle password un lontano ricordo sostituendole con misure più affidabili come l'autenticazione a più fattori. Cosa ha spinto l'azienda a prendere questa decisione e quali vantaggi apporta la MFA agli MSP (Managed Service Providers, fornitori di servizi gestiti)?
Per annunciare la sua decisione di passare a una realtà senza password, Google ha scelto il World Password Day, ovvero la giornata mondiale della password, celebrata lo scorso 6 maggio, suscitando non poco scalpore tra gli utenti e la comunità della cybersicurezza. Risher ha fornito la seguente motivazione:
"Forse non ce ne rendiamo conto, ma le password rappresentano la più grande minaccia alla sicurezza online del nostro tempo: sono facili da rubare, difficili da ricordare e anche noiose da gestire. Molti pensano che la password debba essere il più lunga e complicata possibile, ma spesso e volentieri in realtà questo non fa che aumentare i rischi per la sicurezza. Creando password complesse, gli utenti sono tentati di usarle per più di un account. Infatti, il 66% degli americani ammette di utilizzare la stessa password su più siti, il che aumenta la vulnerabilità di tutti gli account nel momento in cui anche solo uno di essi viene violato."
2SV e altre misure
A conferma del suo annuncio, Risher ha fornito dati significativi: nel 2020, gli utenti che hanno cercato su Google "Quanto è sicura la mia password?" sono aumentati del 300%. Risher ha dichiarato che proprio per questo l'azienda ha deciso di investire in una gestione più semplice delle password con l'obiettivo di non utilizzarle più in futuro. Ma come faranno gli utenti a verificare in sicurezza la propria identità?
La misura portata avanti da Google è l'autenticazione a più fattori (MFA) e, nello specifico, l'autenticazione a due passaggi (2SV), che, a quanto sostiene Risher, è in grado di ridurre il rischio di manomissione degli account in modo molto più efficace rispetto alle semplici password di accesso.
Per il momento, la 2SV sarà obbligatoria per gli utenti che hanno già avviato il processo di implementazione, anche se Risher consiglia vivamente a tutti di utilizzare questa misura per proteggere al meglio gli account. Nel frattempo, l'azienda sta introducendo anche altre misure di sicurezza complementari, tra cui i token di sicurezza, già disponibili come funzionalità diretta sui dispositivi Android, e l'opzione Google Smart Lock , riservata agli utenti iOS.
Affidabilità e facilità di gestione
Quando parliamo di sicurezza informatica, dobbiamo sempre partire dal presupposto che non esistono misure o sistemi capaci di garantire una protezione del 100%. Purtroppo, come si legge in quest'altro articolo del nostro blog, I sistemi MFA sono tutti sicuri?, nemmeno la MFA è infallibile Tuttavia, Mark Risher non ha torto quando dice che un'autenticazione a più fattori ben sviluppata riduce notevolmente le possibilità di successo dei criminali informatici.
A questo proposito, viene in soccorso l'autenticazione a più fattori AuthPoint di WatchGuard. Grazie agli strumenti integrati nell'offerta, gli MSP possono proteggere adeguatamente le identità e gli account aziendali. Adottando metodi quali l'autenticazione push, una particolare autenticazione basata sui codici QR, tutti i dipendenti possono accedere con facilità da una comodissima applicazione mobile. Niente più password, niente più seccature: una volta autorizzati, potranno autenticarsi con un solo rapido passaggio. Inoltre, gli amministratori potranno finalmente dormire sonni tranquilli sapendo che i cellulari utilizzati sono dispositivi autorizzati: la tecnologia "DNA del dispositivo mobile" verifica se il tentativo di accesso proviene da un dispositivo autorizzato, impedendo così ai malintenzionati di infiltrarsi nei sistemi usando una SIM clonata su altri dispositivi.
Inoltre, nel caso in cui l'organizzazione preferisca non adottare l'accesso mobile, WatchGuard AuthPoint offre anche l'opzione token hardware. Questi piccoli dispositivi elettronici sigillati generano automaticamente le password, che però possono essere utilizzate un'unica volta e durano solo 30 secondi. Infine, per qualunque metodo si opti, sarà possibile ridurre il carico di lavoro degli amministratori. Gestire le autorizzazioni e le autenticazioni non è mai stato così semplice con il portale AuthPoint in WatchGuard Cloud.
In definitiva, non sappiamo se il futuro senza password previsto da Risher arriverà presto; nel frattempo, però, siamo convinti che le organizzazioni debbano affidarsi a strumenti capaci di ostacolare i criminali informatici e che l'autenticazione a più fattori è sicuramente una valida soluzione.