Ecco due numeri che dovrebbero preoccupare tutti: 92% delle organizzazioni sta implementando l'assenza di password. Solo 7% sono diventati completamente privi di password.
Questa lacuna non è un problema di tecnologia. Gli strumenti esistono. Gli standard sono maturi. L'intento c'è. Il business case è chiaro: meno vulnerabilità, meno costi, migliore esperienza dell'utente. Eppure, la maggior parte delle organizzazioni continua a digitare password ogni giorno.
Perché questo divario?
Forse il paradosso dell'adozione esiste perché le organizzazioni pensano di non avere abbastanza dati per comprendere i nostri ambienti complessi: sistemi legacy, utenti diversi e condizioni reali incoerenti.
Le piattaforme di identità generano già ogni giorno grandi quantità di telemetria: eventi di autenticazione, modelli di accesso, tassi di fallimento, segnali comportamentali. La maggior parte dei team di sicurezza consuma questi dati. Pochi li interrogano.
In pratica, la telemetria delle identità viene spesso utilizzata per gli audit e i rapporti di conformità, e si ferma lì. Il che lascia senza risposta alcune delle domande più importanti, come il motivo per cui un'organizzazione sta lottando contro l'assenza di password:
- Dove gli utenti sono effettivamente in difficoltà e perché?
- Dove viene meno la fiducia nella pratica?
- Quali controlli migliorano davvero i risultati?
Nell'ultimo anno ho capito che i dati sull'identità non hanno valore da soli. Sono importanti solo quando portano all'azione. E sono le domande giuste che fanno emergere i segnali giusti di cui le organizzazioni hanno bisogno per guidare l'azione.
Prendiamo ad esempio l'adozione senza password. La questione si riduce a tre domande:
Il primo: la password è disponibile per tutti?
Non in teoria, in pratica. Il divario tra ciò che viene distribuito e ciò che gli utenti possono effettivamente utilizzare è spesso molto più ampio di quanto suggeriscano i dashboard. I segnali di questo divario di solito appaiono dove i team non stanno guardando attivamente.
Il secondo: gli utenti possono accedere ovunque senza password?
Gli utenti possono accedere al percorso sicuro ovunque ne abbiano bisogno? Un singolo flusso di lavoro, un sistema o un'eccezione che costringe a un workaround può bloccare l'adozione della password. Gli utenti non pensano per sistemi, ma per esperienze.
Il terzo: la password funziona sempre?
Non in ufficio, non nei giorni migliori, ma ogni volta, in ogni ambiente in cui i vostri utenti operano. Gli utenti non ricorrono alle password perché le preferiscono. Si ritirano perché il percorso sicuro li ha delusi quando era più importante.
In occasione di Identiverse, spiegherò come porre domande come queste può cambiare ciò che si misura, dove i segnali fuorviano i team e come rimodellano ciò che viene costruito.
In RSA abbiamo testato questa ipotesi su noi stessi. Abbiamo implementato l'assenza di password in tutti i dipendenti, in tutti i login e in tutti i casi d'uso. L'azienda è diventata il banco di prova.
L'obiettivo era semplice: 100% senza password. E credevamo di averlo raggiunto.
Poi abbiamo esaminato la telemetria.
Gli utenti continuavano a digitare le password. Ogni giorno. Nonostante l'implementazione, la formazione e le politiche.
Questo costringe a una domanda difficile: perché?
L'unica risposta onesta era smettere di tirare a indovinare e iniziare a seguire i dati.
Ciò che ne è seguito ha rimodellato le nostre decisioni, le politiche e la progettazione dei prodotti e alla fine ci ha portato dove dovevamo essere: senza password per la nostra forza lavoro globale in ambienti diversi. L'Alleanza FIDO ha documentato il viaggio in un documento studio di caso, spiegando le tecnologie, le sfide e le lezioni apprese lungo il percorso.
Qui la storia cambia. In 12 mesi abbiamo raggiunto l'adozione di 94% senza password in tutta la nostra forza lavoro globale.
All'inizio sembrava che la parte più difficile fosse stata fatta.
Ma la maggior parte delle violazioni moderne non comporta il cracking dell'autenticazione. Si tratta di aggirarla. Gli attacchi MFA fatigue, l'ingegneria sociale dell'helpdesk e lo spear phishing alimentato dall'intelligenza artificiale che prende di mira i processi umani anziché i sistemi. In molti incidenti recenti, gli aggressori non hanno mai toccato l'autenticazione. L'hanno aggirata.
Violazioni dei dati presso il Gruppo Caesars Entertainment, MGM Resorts, Marks & Spencer, e altre organizzazioni ci hanno costretto a ripensare a dove la fiducia viene meno nel percorso dell'identità.
Le credenziali forti sono necessarie ma non sufficienti.
Abbiamo quindi esteso la nostra telemetria oltre l'autenticazione all'intero ciclo di vita delle credenziali, in particolare ai flussi di recupero e di accesso agli account.
E una domanda è diventata cruciale:
Il recupero è più facile del login?
Condividerò i segnali che abbiamo iniziato a tracciare attraverso il recupero, cosa hanno rivelato e come la chiusura di questo gap ha cambiato la nostra visione della fiducia continua.
A Identiverse, approfondirò queste idee. L'assenza di password è stato il nostro terreno di prova, ma fare le domande giuste sulla telemetria dell'identità non è una questione di password, né di solo senza password. Questo vale anche per la fatica dell'MFA, per le lacune di Zero Trust o per qualsiasi iniziativa di sicurezza che si sta cercando di portare avanti.
Unisciti al mio sessione giovedì 18 giugno alle 10:15.
Allora passate da RSA a Stand Identiverse #1001 per vedere come RSA offre passwordless per ogni utente, in ogni ambiente, per ogni caso d'uso e per dimostrare come RSA Live Verify contribuisce a colmare il divario di recupero di cui abbiamo parlato.
