Passkeys: Sono pronti per l'uso aziendale?

Le chiavi d'accesso stanno diventando sempre più comuni grazie a servizi di consumo come Google, Apple, Facebook, Meta e altri. L'uso dei passepartout aumenta notevolmente la sicurezza rispetto ai login tradizionali basati su password.

È normale che alcune soluzioni per i consumatori si riversino nell'uso professionale: basti pensare alla possibilità di inviare reazioni emoji alle e-mail. Ma solo perché Instagram mi permette di accedere usando una chiave d'accesso, significa che le aziende dovrebbero farlo?

In breve: i passkeys sono pronti per l'uso aziendale?

Il Alleanza FIDO è stato fondato nel 2013 da diverse aziende per sviluppare uno standard di autenticazione che fungesse da secondo fattore; oggi, FIDO può servire come metodo di autenticazione forte senza password.

Dal 2013, FIDO è diventato uno dei metodi di accesso senza password più popolari, in gran parte perché rispetta l'acronimo che ne costituisce il nome: fornisce un'identità rapida online. FIDO Alliance è fortemente incentrata sull'ambiente dei consumatori. Non c'è da stupirsi, visto che i suoi maggiori membri sono attivi in questo settore: Apple, Google, PayPal e Microsoft. (RSA è membro dell'Alleanza FIDO e co-presiede il gruppo di lavoro sull'implementazione aziendale).

Le credenziali FIDO utilizzano coppie di chiavi asimmetriche per autenticarsi in un servizio. Quando una credenziale FIDO viene registrata con un servizio, viene generata una nuova coppia di chiavi sull'autenticatore FIDO e il servizio si affida a quella coppia di chiavi, e solo a quella. La coppia di chiavi è collegata all'esatto nome di dominio del servizio.

L'accoppiamento rigoroso tra un servizio e una credenziale FIDO crea un alto grado di resistenza al phishing: se un utente cercasse di accedere a un sito di phishing fasullo con la passkey creata per il sito reale, fallirebbe perché il dominio nominato non corrisponderebbe alla coppia di chiavi.

Nel 2022, Apple, Google e Microsoft hanno lanciato il supporto per un nuovo tipo di credenziale FIDO, che hanno chiamato "credenziale FIDO". passkey. Nel 2023, la FIDO Alliance ha adottato il termine "passkey" per qualsiasi tipo di credenziale FIDO, il che porta a una potenziale confusione su ciò che un'organizzazione intende esattamente quando parla di "passkey".

Questa possibile ambiguità è stata affrontata da FIDO Alliance (vedi sotto), ma potrebbe ancora esistere nelle organizzazioni. È importante affrontare questa ambiguità, perché non tutti i passepartout sono uguali o adatti all'uso aziendale.

Tipi di passepartout

Esistono ora due tipi di chiavi d'accesso, come definito da FIDO Alliance: legate al dispositivo e sincronizzate.

Chiavi d'accesso legate al dispositivo e chiavi d'accesso sincronizzate

Le passkey legate al dispositivo sono generalmente ospitate su specifici dispositivi "chiave di sicurezza". In una passkey legata al dispositivo, le coppie di chiavi sono generate e memorizzate su un unico dispositivo; inoltre, il materiale della chiave stessa non lascia mai il dispositivo. Questo tipo di passkey è generalmente considerato più sicuro perché la chiave privata non lascia mai il dispositivo, rendendola resistente all'estrazione o alla compromissione a distanza. Tuttavia, ciò significa anche che, in caso di smarrimento o danneggiamento del dispositivo, l'utente dovrà registrare nuovamente la propria chiave sul dispositivo una volta recuperato o aggiungerla a un nuovo dispositivo, se necessario. Le passkey legate al dispositivo sono particolarmente apprezzate negli ambienti ad alta sicurezza e nei casi d'uso aziendali, che spesso sfruttano hardware come le chiavi di sicurezza o i Trusted Platform Module (TPM).

Tasti di accesso sincronizzati

Con le passkey sincronizzate, il materiale delle chiavi viene salvato tramite un cosiddetto tessuto di sincronizzazione remoto e può essere ripristinato su qualsiasi altro dispositivo dello stesso utente. Attualmente i principali tessuti di sincronizzazione sono Microsoft, Google e Apple. Ciò significa che se si registra il proprio telefono Android come passepartout, il materiale corrispondente sarà disponibile poco dopo su tutti gli altri dispositivi Android.

Le chiavi di accesso sincronizzate, oltre ad avere il supporto di servizi molto diffusi come WhatsApp o Facebook, sono il motivo principale del forte aumento dell'uso generale delle chiavi di accesso. È facile capire perché: un utente con molti account e molti dispositivi può utilizzare la stessa passkey sincronizzata tra tutti.

I Passkeys sostituiscono le password tradizionali con coppie di chiavi crittografiche, offrendo un'autenticazione forte e resistente al phishing. Quando un utente si registra per un servizio, il suo dispositivo genera una coppia di chiavi private e pubbliche unica. La chiave privata rimane memorizzata in modo sicuro sul dispositivo dell'utente, mentre la chiave pubblica viene condivisa con il servizio. Durante il login, il dispositivo dimostra il possesso della chiave privata firmando una sfida del servizio e la firma viene verificata utilizzando la chiave pubblica memorizzata. Non vengono trasmessi segreti condivisi e non vengono create o memorizzate password, riducendo drasticamente il rischio di furto di credenziali o di attacchi replay.

Le password tradizionali si basano su segreti condivisi che possono essere indovinati, rubati o falsificati, il che le rende un punto di ingresso comune per gli aggressori. Spesso vengono riutilizzate tra i vari account, sono archiviate in modo insicuro e sono vulnerabili agli attacchi di tipo brute-force o credential stuffing.

I passkeys eliminano questi rischi sostituendo le password con la crittografia a chiave pubblica e privata. La chiave privata non lascia mai il dispositivo dell'utente e l'autenticazione avviene dimostrando il possesso della chiave, senza trasmetterla. Questo approccio rende obsoleti i vettori di attacco più comuni, come il phishing, il furto di credenziali e il riutilizzo delle password. Per le organizzazioni, i passkeys offrono un balzo in avanti nell'autenticazione sicura, riducendo al contempo l'onere della reimpostazione delle password e dei ticket di assistenza.

• Resistente al phishing: I Passkey sono progettati per prevenire gli attacchi di phishing tradizionali. Non essendoci una password, non c'è nulla da rubare o riutilizzare.
• Veloce e conveniente: L'accesso con una chiave d'accesso è spesso semplice come l'uso della biometria (come Face ID o l'impronta digitale), rendendo l'esperienza più fluida per gli utenti.
• Esperienza utente familiare: I login Passkey assomigliano ai comuni modelli di autenticazione mobile, quindi la curva di apprendimento è minima.
• Sicurezza della corrispondenza dei domini: I passkeys offrono un ulteriore livello di protezione, garantendo che la chiave materiale funzioni solo con il dominio di servizio originale, un vantaggio che non tutti i metodi MFA offrono.
• Approvato dal governo: Negli Stati Uniti, la resistenza al phishing è uno dei principali fattori alla base dei mandati federali. Ordine esecutivo 14028 richiede un'autenticazione senza password e resistente al phishing per proteggere le infrastrutture critiche.

Se da un lato i passkeys offrono notevoli vantaggi, dall'altro comportano alcune sfide e problemi significativi.

• Esperienza utente: Le richieste di Passkey, come ad esempio la richiesta di inserire la chiave di sicurezza nella porta USB o di inserire il PIN, hanno un aspetto diverso a seconda del sistema operativo e del browser. Queste richieste renderanno probabilmente più difficile la formazione degli utenti e aumenteranno le chiamate di assistenza.
• Distrazione da altri attacchi: Chiunque pensi che l'uso dei passkeys li renda improvvisamente immuni agli attacchi di bypass MFA e di ingegneria sociale si sbaglia di grosso. I passepartout aiutano a contrastare un tipo di attacco di ingegneria sociale: il phishing. Purtroppo, esistono altre varianti. Gli attacchi a MGM Resorts o al Caesars Palace di Las Vegas avevano una componente di ingegneria sociale: sfruttare l'help desk per consentire all'aggressore di registrare personalmente un autenticatore MFA.
• Problemi di perdita o aggiornamento del dispositivo: Se gli utenti perdono l'accesso a un dispositivo (e non hanno abilitato la sincronizzazione o il backup), potrebbero avere problemi a recuperare le chiavi d'accesso, soprattutto quelle legate al dispositivo.
• Supporto limitato a tutti i servizi: Sebbene l'adozione sia in crescita, non tutti i siti web o i sistemi aziendali supportano ancora i passkeys, il che può limitarne l'usabilità quotidiana.
• Confusione o mancanza di consapevolezza da parte degli utenti: Il concetto di passkey è ancora nuovo per molti utenti, il che può generare confusione in merito all'impostazione, alla sincronizzazione o a ciò che sta effettivamente accadendo sotto il cofano. Le variazioni terminologiche (passkeys, chiavi di sicurezza, chiavi FIDO) e l'evoluzione degli standard del settore possono aumentare questa confusione e rendere difficile per gli utenti e le organizzazioni comprendere chiaramente le best practice e implementare e adottare in modo coerente i passkeys. Questo può anche portare a errori durante la configurazione e l'utilizzo, a un aumento delle chiamate di assistenza e a potenziali lacune nella sicurezza.
• Preparazione dell'infrastruttura: L'implementazione dei passkeys può richiedere alle organizzazioni di aggiornare le piattaforme di identità, le politiche di gestione dei dispositivi e le attività di formazione, soprattutto quando si abbandona l'autenticazione tradizionale. Le organizzazioni potrebbero scoprire che le risorse legacy o on-premises non sono compatibili con i passkeys a causa dell'autenticazione solo web. In questi casi, le organizzazioni dovrebbero modernizzare la loro MFA con funzionalità senza password che possono estendersi agli ambienti e mantenere l'infrastruttura legacy.

Viste le sfide che i passepartout di oggi pongono quando si tratta di offrire flussi di lavoro uniformi su vari browser, dispositivi e sistemi operativi, cosa può fare l'industria per garantire un'esperienza multipiattaforma davvero senza soluzione di continuità? Come possiamo determinare il percorso migliore per risolvere le incongruenze che possono confondere gli utenti e bloccare l'adozione diffusa? In RSA, la nostra leadership UX partecipa attivamente ai gruppi di lavoro di FIDO Alliance per sostenere esperienze utente coerenti. Contribuendo con le nostre intuizioni, ci proponiamo di contribuire alla definizione di standard che comportino meno distrazioni, meno attriti e più uniformità per gli utenti finali.

La mobilità è un altro aspetto della creazione di un'esperienza passepartout senza soluzione di continuità tra gli ambienti. Gli utenti della forza lavoro si aspettano sempre più la comodità di flussi di lavoro mobile-first. Se l'accesso alle risorse aziendali su uno smartphone è intuitivo come lo sblocco dello stesso dispositivo, l'adozione di nuovi metodi di autenticazione, come i passkey, diventa molto più semplice. Un'esperienza mobile priva di attriti aiuta ad abbattere le resistenze degli utenti, riducendo al minimo la curva di apprendimento e rendendo la transizione dalle password molto più agevole. Offrendo un'interfaccia familiare, trasparente sulle autorizzazioni e coerente indipendentemente dal dispositivo o dalla piattaforma dell'utente, le organizzazioni possono ridurre la confusione e migliorare la fiducia. La soluzione mobile FIDO di RSA è un esempio di come implementare una passkey in modo indipendente dal dispositivo.

Si dice che quando si ha un martello, tutto può sembrare un chiodo. Trasformare in applicazione aziendale una soluzione, anche ottima, originariamente destinata all'uso da parte dei consumatori, può comportare rischi significativi.

Durante la lettura di questo articolo, potreste aver avuto una sensazione di nausea alla menzione di "tessuto di sincronizzazione". Il vostro istinto aveva ragione.

Il fatto che le passkey appaiano come per magia su tutti i dispositivi su cui l'utente ha effettuato l'accesso tramite Apple o Google è un segnale di allarme importante nell'ambiente aziendale e dovrebbe sollevare alcune domande significative:

• Gli utenti dovrebbero essere autorizzati a utilizzare più dispositivi (eventualmente anche privati) per l'autenticazione? Se sì, quanti?
• Le chiavi di accesso sincronizzate rendono possibile il ripristino di una chiave di accesso "persa" con i processi di recupero dell'account, ad esempio, di Google o Apple. È fantastico... ma questi processi sono abbastanza sicuri per voi?
• La funzione di Apple che consente agli utenti di condividere le chiavi d'accesso con amici o familiari è molto bella... ma si applica anche alle chiavi d'accesso utilizzate per le applicazioni aziendali?

Quando si utilizzano chiavi di accesso sincronizzate, la sicurezza della vostra azienda dipende improvvisamente in larga misura dalla sicurezza tecnica e organizzativa di Apple e Google. Certo, c'è comunque una certa dipendenza dovuta all'uso di iOS e Android-Ma i passepartout sincronizzati aumentano notevolmente questa dipendenza.

Non si tratta di una vulnerabilità teorica. L'anno scorso Retool ha discusso di come gli attori delle minacce l'abbiano utilizzata per accedere ai suoi sistemi: Ripristino ha scritto che la funzionalità significa che "se il vostro account Google è compromesso, lo sono anche i vostri codici MFA".

Non si tratta di una vulnerabilità teorica. L'anno scorso Ripristino ha discusso di come gli attori delle minacce l'abbiano utilizzata per ottenere l'accesso ai suoi sistemi: Retool ha scritto che la funzionalità significa che "se il vostro account Google è compromesso, lo sono anche i vostri codici MFA".

Non si può rispondere in modo generico se i passepartout debbano essere utilizzati in azienda. Ogni organizzazione è diversa e deve bilanciare le proprie priorità operative e di sicurezza.

Inoltre, l'utilizzo o meno dei passkeys non dovrebbe essere una questione di sì/no. L'introduzione dei passkeys o dei login senza password in generale dovrebbe servire a rivedere radicalmente l'intero processo MFA di un'organizzazione. Ciò che è stato valido per i token OTP hardware per 15 anni, probabilmente oggi non è più del tutto vero per i passkeys o altri metodi MFA.

RSA ritiene che le passkey possano essere utilizzate in ambito aziendale se sono in linea con la strategia organizzativa e se le organizzazioni riflettono sulle risposte alle seguenti domande. Abbiamo visto organizzazioni utilizzare con successo i passkeys usando RSA^® ID Plus, La nostra piattaforma completa di gestione dell'identità e dell'accesso (IAM) offre una serie di opzioni senza password.

Poiché siamo un'organizzazione orientata alla sicurezza e utilizziamo i principi Secure by Design / Secure by Default, impediamo l'uso di passkey sincronizzati per impostazione predefinita. Negli ambienti RSA sono disponibili per impostazione predefinita solo le chiavi di accesso legate al dispositivo, per garantire il massimo livello di sicurezza già pronto e senza alcun lavoro aggiuntivo da parte degli amministratori.

Quando si valuta se introdurre i passkey, le organizzazioni devono chiedersi: come vengono registrati i nostri autenticatori? Esistono processi che gestiscono in modo sicuro lo scenario "ho perso il mio autenticatore"? E la classificazione di utenti, applicazioni e dati?

I passepartout sono uno Metodo MFA tra le tante. Sì, la resistenza al phishing è fantastica, ma gli utenti possono accedere con questo sistema ai loro desktop remoti?

Per questi e molti altri motivi, è importante che il vostro sistema MFA non sia solo tecnicamente aggiornato, ma che supporti anche un'ampia varietà di metodi MFA, come codici QR, biometria, OTP, messaggi push e passkeys.

È inoltre importante che i processi relativi all'MFA siano adattati alle nuove minacce. Questo va ben oltre il sistema MFA vero e proprio: il vostro help desk è anche al sicuro da attacchi di social engineering?

Se i passkeys hanno un senso per voi, vogliamo aiutarvi. Contattateci per saperne di più o per avviare un prova gratuita di 45 giorni di ID Plus.