Autenticazione a due fattori: due passi avanti, uno indietro

Negli ultimi cinque anni, l’utilizzo dei dispositivi mobili ha superato l’utilizzo dei desktop su più settori. Nel 2020, il 51% del tempo trascorso online negli Stati Uniti è su un dispositivo mobile. Dato questo rapido passaggio ai dispositivi mobili, vale la pena dare un’occhiata alla breve storia dell’autenticazione e dell’evoluzione digitale per affrontare le sfide degli utenti mobile di oggi. L’autenticazione a due fattori (2FA) è stata particolarmente impegnativa per l’esperienza utente.

L’autenticazione digitale è iniziata con la password del computer, un’invenzione di Fernando Corbato negli anni ’60, ed era sufficiente nelle prime fasi. Le password erano il punto di partenza logico per la sicurezza di Internet poiché erano state utilizzate come metodo di autenticazione per secoli prima del computer. Il primo riferimento alle password è apparso nell’antica Mesopotamia. Tuttavia, all’inizio degli anni 2000 le difficoltà con le password sono diventate evidenti. Nel 2004 Bill Gates ha dichiarato che le password erano intrinsecamente deboli e non ci si poteva fare affidamento in futuro. Nel 2014 anche lo stesso Fernando Corbato ha ammesso che le password erano diventate “una specie di incubo”.

All’inizio degli anni 2000 è iniziato l’attuale passaggio all’autenticazione a due fattori (2FA) e a più fattori (MFA), ma l’adozione dell’autenticazione a più fattori non è stata rapida. Il motivo principale è che con la sicurezza aggiunta di 2FA e MFA è arrivato un ulteriore attrito. Sebbene negli ultimi cinque anni quasi tutte le app o i siti web abbiano utilizzato una combinazione di tecniche di autenticazione per migliorare la sicurezza, la lotta per bilanciare l’attrito aggiuntivo continua.

Sebbene Bill Gates possa essere stato in anticipo per identificare i rischi con le password, la sua ricerca della tecnologia delle smart card come sostituto è stata ostacolata dalla sua complessità. Sebbene la tecnologia delle smart card fornisca certamente una protezione solida, la spesa e la complessità della richiesta di hardware per lettori di smart card spiega la sua mancanza di accettazione nel settore.

Inoltre, con l’avvento dello smartphone all’inizio degli anni ’90 e la rapida crescita dell’utilizzo dei dispositivi mobili, i metodi di autenticazione digitale hanno dovuto adattarsi rapidamente al diverso modello di utilizzo degli utenti mobili, nonché al diverso fattore di forma dei dispositivi mobili con funzionalità di tastiera minime .

All’inizio, l’uso dell’autenticazione a due fattori basata su SMS sembrava un’ottima idea fino a quando i truffatori non hanno capito come trasferire il numero di telefono di un utente sul proprio telefono e di conseguenza accedere ai codici di accesso monouso (OTP) inviati tramite SMS. Lo schema è ora noto come attacco di scambio SIM.

L’autenticazione a due fattori basata su SMS è sicuramente una delle tecniche che sta per uscire ed è, in effetti, un metodo deprecato, come delineato nelle linee guida sull’identità del NIST SP 800-63. Le notifiche push hanno ora sostituito gli SMS come metodo preferito per l’invio di codici OTP.

Con la moltitudine di opzioni per implementare l’autenticazione a due fattori, una delle tendenze più grandi è il cambiamento dei metodi di autenticazione a due fattori preferiti. I metodi 2FA che hanno più attrito e sono più costosi da implementare vengono sostituiti da quelli che sono privi di attrito, più sicuri ed economici.

I casi d’uso mobili stanno ora dettando la fase successiva nell’evoluzione dell’autenticazione digitale. La crescita degli smartphone e dell’utilizzo di Internet mobile ha portato a una base di utenti caratterizzata da tempi di attenzione brevi. Ciò pone ulteriori sfide a qualsiasi metodo di sicurezza che aggiunge attrito e ritardo all’esperienza dell’utente. L’equilibrio si è decisamente orientato verso l’ottimizzazione dell’esperienza utente per gli utenti mobili a tutti i costi.

Quindi cosa significa questo per le scelte di autenticazione per gli utenti mobili?

Molte app e siti Web stanno intraprendendo la strada per offrire all’utente una scelta di metodi 2FA e lasciare che l’utente decida la propria preferenza. Lo sviluppo dello standard FIDO, e ora FIDO2, con le sue numerose opzioni di autenticazione, ha fornito una road map per l’implementazione della MFA. Queste scelte offrono diversi gradi di sicurezza e attrito. In alcuni casi, l’aggiunta di 2FA aggiunge sicurezza ma toglie l’esperienza dell’utente.

Quali sono le scelte?

I punti nella tabella seguente indicano se la sicurezza e l’esperienza dell’utente sono state influenzate positivamente o negativamente dai diversi metodi di autenticazione a due fattori. Il punteggio è su una scala da -2 a +2, dove 0 significa nessun impatto, -2 significa un impatto fortemente negativo e +2 significa un impatto fortemente positivo.

Le app che offrono una combinazione di diversi tipi di metodi di autenticazione dovrebbero continuare e la biometria comportamentale attira continuamente l’attenzione grazie alla sua capacità di aggiungere sicurezza senza sottrarre dall’esperienza utente con ulteriore attrito.

Il ruolo della biometria comportamentale

Identificare i tratti comportamentali unici di un utente è l’essenza della biometria comportamentale e offre l’opportunità di identificare e autenticare in modo univoco gli utenti senza richiedere loro di fare altro che essere se stessi. La biometria comportamentale offre la migliore esperienza utente per la sicurezza senza aggiungere attriti.

Sorprendentemente, la prima forma di biometria comportamentale era il telegrafo, utilizzato per la prima volta negli anni ’60 dell’Ottocento. Gli operatori del telegrafo potrebbero essere identificati dal modo in cui hanno sfruttato in modo univoco i segnali di trattini e punti. I movimenti del mouse e le sequenze di tasti sono stati alcuni dei primi indicatori web-centric utilizzati per definire gli utenti. Oggi ci sono molti segnali comportamentali che possono informare la nostra identità digitale tra cui andatura, voce, gesti e posizione.

Per gli utenti mobili, la biometria comportamentale della posizione sta emergendo come il segnale comportamentale più forte che definisce in modo univoco un utente. Gli utenti mobili di oggi sono molto raramente separati dai loro dispositivi mobili di più di pochi metri. I dispositivi mobili sono spesso nelle nostre tasche, nelle nostre borse, accanto a noi sulle nostre scrivanie, in cucina, in bagno e accanto a noi quando dormiamo. Utilizzando una combinazione di segnali di rete tra cui GPS, Wi-Fi e Bluetooth e segnali sul dispositivo come accelerometri, giroscopi e magnetometri, la biometria comportamentale della posizione può ora costruire modelli di comportamento della posizione unici con una precisione interna fino a sette piedi. Senza due utenti che condividono la stessa cronologia del comportamento della posizione, questo modello di posizione unico forma un’impronta digitale di posizione dinamica che è praticamente impossibile imitare o falsificare. La biometria tradizionale come l’impronta digitale, il viso e l’iride sono credenziali statiche che, una volta rubate, sono inutili. L’impronta digitale della posizione è dinamica e in continua evoluzione, consentendo all’utente di essere sempre un passo avanti rispetto al truffatore.

Come industria, dobbiamo adottare un cambiamento di mentalità che la sicurezza non dovrebbe andare a scapito dell’esperienza utente. Con l’utilizzo dei dispositivi mobili come canale dominante in futuro, le tecniche di autenticazione devono andare oltre due passaggi in avanti per l’autenticazione e un passaggio indietro per l’esperienza dell’utente. Proprio come le password vengono scartate a causa dell’elevato attrito che creano per gli utenti, le nuove tecniche di autenticazione a più fattori (MFA) verranno selezionate e diventeranno preferite perché aggiungono sicurezza senza compromettere l’esperienza dell’utente. La biometria comportamentale è una delle nuove tecniche di MFA che offre agli utenti la scelta di una migliore sicurezza ed esperienza utente.