I sistemi di autenticazione basati su password sono sempre meno sicuri
Gli attacchi legati all’autenticazione sono cresciuti nel 2022, sfruttando i sistemi di autenticazione obsoleti basati su password. Lo afferma uno studio commissionato da HYPR, fornitore di autenticazione multifattoriale (MFA) senza password con sede negli Stati Uniti, e condotto dalla società indipendente di ricerche di mercato in campo tecnologico Vanson Bourne, che ha intervistato 1000 professionisti IT di organizzazioni di tutto il mondo con più di 50 dipendenti. Tra questi vi erano intervistati provenienti da Stati Uniti (300), Regno Unito (250), Francia (100), Germania (100), Cina (100), Australia (75) e Giappone (75).
Tre intervistati su cinque hanno dichiarato che le loro organizzazioni sono state prese di mira da attacchi legati all’autenticazione nel 2022. Inoltre, dell’88% degli intervistati presi di mira da uno o più attacchi informatici negli ultimi 12 mesi, il 43% ha dichiarato che il phishing o lo smishing sono stati la forma principale di attacco, mentre gli attacchi con notifica push (MFA bombing) hanno rappresentato il 28% degli attacchi complessivi. Questi attacchi, in cui un utente viene bombardato da molteplici avvisi push per accedere al dispositivo, hanno contribuito solo al 12% e al 9% rispettivamente nel 2021 e nel 2020.
“Le organizzazioni utilizzano l’autenticazione a due fattori: un fattore primario basato su password e un secondo fattore basato su OTP o notifiche push per proteggere l’accesso“, ha dichiarato Steve Brasen, direttore della ricerca presso la società di consulenza Enterprise Management Associates, che non ha alcun legame con lo studio. “L’autenticazione di secondo fattore è un po’ più difficile da sconfiggere. Per aggirare questo problema, i malintenzionati inviano ripetutamente richieste di autenticazione di secondo fattore al telefono dell’utente, infastidendolo finché non accetta la richiesta e consente l’accesso all’hacker”.
L’approccio di base all’autenticazione a due fattori ha a malapena rallentato gli attacchi a causa della continua dipendenza dalle password e degli utenti fallibili che si lasciano ingannare troppo facilmente nel fornire le credenziali ai malintenzionati, ha aggiunto Brasen. La maggior parte delle organizzazioni utilizza ancora diversi metodi di autenticazione tradizionali come nome utente e password (57%), TFA/MFA (54%), password manager (49%) e single sign-on (43%). Solo il 28% degli intervistati ha dichiarato di utilizzare qualche forma di autenticazione senza password. Un quinto degli intervistati ha inoltre dichiarato di aver subito due o più violazioni legate all’autenticazione nell’ultimo anno. Il costo medio di una violazione legata all’autenticazione è stato stimato in 2,95 milioni di dollari.
L’autenticazione tradizionale fallisce per diversi motivi
La maggior parte degli intervistati (87%) ritiene che l’approccio all’autenticazione della propria azienda sia completo e per lo più sicuro. Questo, sottolineano gli esperti, è dovuto alla loro ignoranza nell’adottare gli standard del settore. “La maggior parte delle organizzazioni ha affrontato il problema della sicurezza dell’autenticazione sovrapponendo una soluzione OTP o di notifica push agli strumenti di autenticazione basati su password esistenti, perché era il modo più economico e semplice per risolvere il problema”, ha affermato Brasen. “Poi si sono convinti di aver soddisfatto i requisiti di conformità e di contratto di servizio e hanno riorientato i loro budget e i loro sforzi verso la risoluzione di altri problemi di sicurezza informatica”.
I metodi di autenticazione tradizionali presentano anche diversi punti dolenti in termini di gestione e controllo. I problemi evidenziati dagli intervistati includono la difficoltà di autenticare in modo sicuro i lavoratori remoti (36%), i dispositivi di terze parti non gestiti (35%), la complessità della tecnologia per l’implementazione (34%), la resistenza dei dipendenti all’adozione (31%) e la reimpostazione di password/credenziali (29%).
Inoltre, l’81% degli intervistati ha ammesso di aver avuto problemi ad accedere a informazioni critiche per il lavoro nelle occasioni in cui ha dimenticato la password. Il rapporto indica una spesa media di 375 dollari per dipendente all’anno per i problemi legati alle password. “Invece di ridurre l’impatto della sicurezza sulle prestazioni degli utenti, gli approcci tradizionali a due fattori aumentano di fatto l’attrito degli utenti, richiedendo loro di svolgere attività aggiuntive per accedere alle risorse di cui hanno bisogno per completare le attività lavorative”, continua Brasen.
Di fronte a questi problemi, quasi tutti gli intervistati (98%) concordano sul fatto che le loro organizzazioni trarranno beneficio dall’implementazione di metodi senza password. I principali incentivi al passaggio a questi metodi sono stati il miglioramento dell’esperienza utente e della produttività (45%), il rafforzamento della sicurezza informatica (43%), l’adozione dell’MFA da parte dei dipendenti (42%) e l’abbandono di sistemi legacy insicuri (36%).
“L’aumento della consapevolezza del valore degli approcci di autenticazione senza password è dovuto a raccomandazioni e direttive divulgate pubblicamente”, ha aggiunto Brasen. “La disponibilità di nuove tecnologie senza password (come i passkeys) e la maggiore adozione degli standard FIDO stanno accelerando l’implementazione di questi sistemi”. Sempre secondo Brasen, lo stigma associato alle spese di implementazione dei sistemi senza password sta scomparendo, poiché i vantaggi di una maggiore sicurezza, di una migliore esperienza utente e di prestazioni aziendali superano le sfide (comunque presenti).
L’indagine ha anche evidenziato alcune idee sbagliate su cosa si intende per autenticazione senza password. Tra gli intervistati che hanno dichiarato di utilizzare sistemi senza password, il 58% ha utilizzato OTP tramite un’app di autenticazione mobile, il 54% ha utilizzato token hardware OTP come i token RSA (54%), il 53% ha utilizzato notifiche push e il 50% ha memorizzato password che vengono sbloccate con la biometria e trasmesse sul back-end. Un vero e proprio sistema senza password, che non prevede l’uso di password, è stato utilizzato solo dal 3% degli intervistati, il che significa che la maggior parte delle organizzazioni che adottano una soluzione senza password è ancora esposta a phishing, push fatigue e altri attacchi MFA.
Questo studio sottolinea infine la necessità di educare ai metodi senza password, dato che il 65% degli intervistati non è in grado di distinguere un MFA tradizionale da uno resistente al phishing e l’82% crede ancora che gli MFA tradizionali offrano una sicurezza completa o elevata.