Accedere al PC con un nome utente e una password è ancora una pratica comune in molte aziende. Tuttavia, questa procedura non è né conveniente né sicura; dopo tutto, quattro incidenti di sicurezza su cinque possono essere ricondotti a password rubate, spiate o troppo deboli.
Un'alternativa esiste da tempo. [...] Richiede l'uso di smart card e di dispositivi finali specifici con lettori di carte corrispondenti e richiede un elevato sforzo organizzativo per la distribuzione delle smart card a tutti i dipendenti.
Tuttavia, lo sviluppo non si ferma. [...] Grazie alle tecnologie e agli standard moderni e al trionfo dei dispositivi mobili, gli smartphone possono essere utilizzati come smartcard. Consentono agli utenti di accedere a un PC, a programmi single sign-on o ad applicazioni cloud in un modo estremamente semplice che rispetta anche i più alti standard di sicurezza. E anche per le aziende, tali procedure di accesso comportano solo un piccolo sforzo.
Una soluzione basata su smartphone e senza password è basata su un sistema di crittografia asimmetrica [...]. Da un lato, contiene una chiave privata che viene memorizzata in modo sicuro sul dispositivo mobile dell'utente [...]. D'altra parte, una chiave pubblica memorizzata su un server senza password, che si occupa dell'autenticazione dell'utente. [...] Per i dipendenti autorizzati, l'autenticazione inizia in una frazione di secondo all'inizio del login al PC. [...]
Una tale soluzione di login basata su smartphone deve soddisfare diversi criteri per fornire la massima sicurezza possibile. Questi includono l'autenticazione a più fattori (MFA), la certificazione FIDO e, soprattutto, la completa e coerente assenza di password.
È chiaro che un alto livello di sicurezza richiede un'autenticazione a più fattori nel processo di login al PC, e non solo dopo che l'utente è in rete. Con uno smartphone, l'MFA è facile da implementare; il login può essere avviato sullo smartphone e autenticato dalla biometria o da un PIN.
Se lo smartphone sarà usato come una smartcard, dovrà rispettare anche lo standard industriale per l'autenticazione a due fattori definito dalla FIDO (Fast IDentity Online) Alliance.
Dal punto di vista della sicurezza, tuttavia, è fondamentale che l'uso dello smartphone offra una vera assenza di password. [...]Si può parlare di essa, quando non solo l'utente può agire senza password, ma quando non ci sono nemmeno password nel backend, cioè tramite credenziali memorizzate in un database, per esempio. Tali directory sono sempre problematiche per ragioni di sicurezza, poiché l'accesso apre una vasta gamma di scenari di attacco per gli hacker. [...]
Con una soluzione MFA senza password che trasforma uno smartphone in una smartcard, è possibile eliminare il dilemma della password di molte aziende - soprattutto in termini di sicurezza, convenienza, costi e sforzo amministrativo. [...]
Fonte: security-insider.de