La missione di RSA è sempre stata quella di eliminare gli anelli deboli della sicurezza digitale. Oggi siamo entusiasti di annunciare una tappa importante di questo percorso: l'anteprima della nostra soluzione FIDO mobile, disponibile in Applicazione RSA Authenticator V4.4 per iOS e Android. RSA ID Plus è un server certificato FIDO2 e con questa pietra miliare, la nostra app autenticatore per iOS e Android è ora un autenticatore certificato FIDO2.
Questo segna il nostro impegno nel creare esperienze d'uso sicure, intuitive e senza soluzione di continuità, e il nostro tentativo di eliminare le password una volta per tutte.
Le password sono da tempo una vulnerabilità critica nella sicurezza informatica, in quanto si basano sulla memoria e sulla discrezione umana, che spesso porta a password deboli e riutilizzate. Per molto tempo abbiamo sostenuto Soluzioni senza password come il codice QR, la biometria, il codice di accesso unico, o gli autenticatori hardware certificati FIDO2 come il RSA DS100 per affrontare queste vulnerabilità.
Quest'ultima pietra miliare porta la sicurezza senza password nelle aziende, aggiungendo il supporto per le chiavi di accesso legate al dispositivo (mobile FIDO) alla nostra app RSA Authenticator, fornendo un'alternativa sicura e facile da usare che elimina la vulnerabilità preferita dai criminali informatici, migliora la sicurezza organizzativa e mantiene gli utenti connessi e produttivi.
Tasti di passaggio hanno ricevuto molta attenzione, sia a causa dell'impegno di Facebook, Apple e Amazon per una soluzione più orientata al consumatore, sia perché il Alleanza FIDO ha adottato il termine "passkey" per qualsiasi tipo di credenziale FIDO. Ciò ha generato una certa confusione su cosa si intenda esattamente quando un'organizzazione utilizza il termine "passkey". chiarire.
La distinzione più importante che abbiamo riscontrato è quella tra passkey legati al dispositivo e passkey sincronizzati:
- Chiavi d'accesso legate al dispositivo: Questo tipo di chiave viene creato in modo sicuro e memorizzato su un unico dispositivo. La chiave privata non lascia mai il dispositivo, garantendo un elevato livello di sicurezza. Le passkey vincolate al dispositivo riducono al minimo il rischio di esposizione della chiave e forniscono una solida protezione contro phishing e altre minacce informatiche. Ciò significa che la chiave d'accesso non può essere utilizzata su un altro dispositivo senza doverla registrare di nuovo manualmente, il che la rende l'opzione ideale per le organizzazioni aziendali e del settore pubblico. Queste soluzioni sono resistenti al phishing e offrono un livello di sicurezza superiore.
- Tasti di accesso sincronizzati: Le chiavi di accesso sincronizzate vengono memorizzate e sincronizzate su più dispositivi tramite servizi cloud, offrendo la comodità di accedere ai servizi su diversi dispositivi senza doverli registrare singolarmente. Consentono inoltre di recuperare le chiavi di accesso in caso di smarrimento, furto o sostituzione del dispositivo host, un'operazione particolarmente utile dal momento che gli utenti aggiornano spesso i loro telefoni cellulari ogni due anni. Se da un lato questo migliora la comodità dell'utente, dall'altro richiede solide misure di sicurezza per proteggere le chiavi di accesso sincronizzate nel cloud. Le chiavi di accesso sincronizzate possono essere adatte all'uso da parte dei consumatori, ma potrebbero non offrire lo stesso livello di sicurezza richiesto per gli ambienti federali e aziendali.
Implementando una soluzione di passkey legata al dispositivo all'interno dell'app RSA Authenticator per iOS e Android, contribuiamo a rafforzare la sicurezza dei nostri clienti. Fiducia zero per garantire un'autenticazione senza password profondamente integrata e semplice da utilizzare, a prova di phishing. Questa tecnologia elimina i punti deboli delle password tradizionali, offrendo un'esperienza utente intuitiva e senza soluzione di continuità.
Philip Corriveau, il nostro responsabile UX, sottolinea perché questo sviluppo è importante: "In RSA crediamo che la sicurezza non debba essere una barriera, ma una parte integrante dell'esperienza utente. Con il supporto dei passkeys legati al dispositivo all'interno dell'app RSA Authenticator per iOS e Android, non stiamo solo migliorando la sicurezza, ma stiamo trasformando il modo in cui gli utenti interagiscono con le loro identità digitali".
Le passkey legate al dispositivo offrono diversi livelli di sicurezza che neutralizzano gli attacchi più comuni:
- Phishing: Poiché la chiave privata non lascia mai il dispositivo, gli aggressori non possono intercettarla o rubarla attraverso tentativi di phishing. È tecnicamente impossibile rubare la chiave direttamente dal dispositivo dell'utente. Anche se i malintenzionati possono tentare di accedere al cloud per scaricare una copia della chiave, la chiave privata stessa rimane al sicuro sul dispositivo, impedendo alla maggior parte degli attacchi di avere successo.
- Ingegneria sociale: Con le passkey legate al dispositivo, la chiave privata non è condivisibile o estraibile. Gli utenti non devono accedere, ricordare o gestire la chiave privata, il che riduce notevolmente il rischio di attacchi di social engineering. Gli aggressori non possono indurre gli utenti a rivelare qualcosa a cui non hanno accesso.
- Avversario nel mezzo: Anche se un aggressore intercetta la comunicazione tra un servizio e l'autenticatore, non può utilizzare la sola chiave pubblica per accedere.
Sebbene quasi tutte le organizzazioni in ogni settore possano trarre vantaggio da Mobile FIDO, la soluzione può essere particolarmente preziosa per le agenzie governative che si sforzano di soddisfare il mandato presidenziale per la cybersicurezza e di conformarsi a Ordine esecutivo 14028 entro la fine dell'anno fiscale.
L'EO14028 richiede alle agenzie governative di utilizzare soluzioni senza password e resistenti al phishing per autenticare i propri utenti. Si tratta di una componente fondamentale per la modernizzazione e la difesa delle infrastrutture critiche, ma richiede che le agenzie governative agiscano rapidamente e implementino una soluzione comprovata.
"La passkey certificata FIDO2 e legata ai dispositivi di RSA è una risorsa importante per le agenzie federali che si sforzano di rispettare il mandato presidenziale e la scadenza dell'anno fiscale 2024", ha dichiarato Kevin Orr, Presidente di RSA Federal. "Più che spuntare una casella, RSA può portare decenni di pedigree di sicurezza e una soluzione unificata, scalabile e facile da usare che può migliorare la collaborazione per il settore pubblico".
La nostra soluzione FIDO mobile è un passo fondamentale per offrire un'esperienza senza password coerente e continua dall'inizio alla fine. L'app RSA Authenticator V4.4 per iOS e Android supporta FIDO mobile come anteprima tecnica. La funzionalità FIDO mobile sarà generalmente disponibile con l'app RSA Authenticator V4.5 per iOS e Android. Questa versione includerà ulteriori miglioramenti e un'esperienza utente semplificata.
La soluzione mobile FIDO di RSA è particolarmente adatta agli ambienti Zero Trust, dove l'accesso sicuro e senza password è fondamentale. Le passkey legate al dispositivo si allineano ai principi Zero Trust verificando ogni tentativo di accesso senza affidarsi alle password, che sono vulnerabili al phishing e al furto di credenziali. Con le passkey legate al dispositivo, la chiave privata rimane al sicuro sul dispositivo originale, assicurando che l'accesso sia limitato solo ai dispositivi verificati: l'ideale per proteggere i lavoratori remoti e ibridi.
Oltre a una maggiore sicurezza, la soluzione RSA mobile FIDO migliora la flessibilità consentendo un facile accesso in tutti gli ambienti di lavoro, riducendo le interruzioni e mantenendo al contempo la sicurezza dei dati sensibili. Poiché i mandati governativi richiedono un'autenticazione resistente al phishing, la soluzione RSA mobile FIDO aiuta le organizzazioni non solo a proteggere le esigenze di oggi, ma anche a prepararsi per gli standard di domani.
In RSA siamo all'avanguardia nella tecnologia senza password. Il nostro impegno incessante per l'innovazione ci spinge a creare soluzioni che ridefiniscono la sicurezza digitale. Stiamo aprendo la strada a un mondo più sicuro e facile da usare grazie alla transizione verso un ambiente senza password.
Siamo entusiasti di continuare questo viaggio insieme a voi e non vediamo l'ora di rendere la nostra soluzione mobile FIDO generalmente disponibile come parte della V4.5. Insieme, possiamo stabilire nuovi standard per il settore e guidare la carica verso un futuro in cui la sicurezza sia sicura e intuitiva.
Restate sintonizzati per ulteriori aggiornamenti e approfondimenti, mentre continuiamo a guidare la carica verso un futuro senza password.
###
RSA ha lanciato l'App Authenticator 4.5 nel dicembre 2024. Per saperne di più sull'innovazione che porta Autenticazione resistente al phishing, senza password e certificata FIDO2 direttamente sui dispositivi mobili degli utenti. Oppure, se siete un amministratore, imparare ad abilitare la funzione in RSA ID Plus.
