I metodi di autenticazione per aumentare sicurezza e produttività
La cyber security è oggi una priorità strategica per le aziende di ogni dimensione. Circa il 90% degli attacchi informatici parte dal furto di credenziali. Password deboli, utilizzate su diversi account aziendali e personali, memorizzate e archiviate in modo improprio: queste e altre abitudini espongono le aziende a crescenti rischi e l’uso di password, da alleato per la cyber security aziendale, finisce con il diventare un ulteriore fattore di rischio. Un paradosso che oggi possiamo finalmente contrastare scegliendo un approccio passwordless. In questo articolo vediamo perché e come implementarlo per migliorare la sicurezza dei dati aziendali.
- Cyber security in cloud: l’importanza della sicurezza delle credenziali
- Cosa significa passwordless
- Aspetti di cyber security influenzati dall’approccio passwordless
- Cyber security per le aziende: vantaggi del modello passwordless
- Soluzioni sicurezza informatica in Microsoft 365: metodi di autenticazione passwordless
- Passwordless e soluzioni di cyber security per onboarding e app di terze parti
- Passwordless, il primo passo nella cyber security per piccole medie aziende
Cyber security in cloud: l’importanza della sicurezza delle credenziali
Con perimetri aziendali sempre più sfumati e la crescente presenza di team diffusi, le aziende devono confrontarsi con nuove sfide per la propria cyber security in cloud. La presenza di password sta diventando paradossalmente un elemento rischioso a livello di sicurezza informatica.
Basti pensare che la maggior parte delle mail di phishing oggi invita a cambiare password e fornire credenziali per recuperare un presunto servizio temporaneamente disattivato e simili, sfruttando l’utente come anello debole della catena.
In questo contesto, l’adozione di soluzioni passwordless rappresenta un passaggio strategico per rafforzare la postura di sicurezza, ridurre l’esposizione al phishing e semplificare l’esperienza utente e la gestione IT.
Cosa significa passwordless
L’autenticazione passwordless permette agli utenti di accedere alle risorse aziendali senza digitare una password statica. In Microsoft 365 questo si realizza tramite metodi alternativi come Windows Hello for Business, chiavi di sicurezza FIDO2, passkey basate su crittografia a chiave pubblica o approvazioni da dispositivi registrati. Questi fattori non solo alzano il livello di sicurezza rispetto ai sistemi a Multi-Factor Authentication (MFA), ma velocizzano e semplificano l’esperienza di accesso.
Con la MFA classica, l’utente fornisce sempre una password prima di completare un secondo fattore (OTP, app, SMS). Nel modello passwordless la password viene completamente rimossa a favore di credenziali fortemente legate al dispositivo o alla biometria, eliminando il principale vettore di attacco in caso di phishing o furto di credenziali e riducendo significativamente la superficie di rischio.
Aspetti di cyber security influenzati dall’approccio passwordless
L’approccio passwordless ha un impatto tangibile su diversi aspetti operativi della cyber security aziendale. Adottare un modello security by default oggi non è più solo un requisito per mantenere un buon livello di protezione, ma una leva per snellire i processi operativi e ridurre i costi dovuti alla gestione delle password.
Ogni giorno siamo bloccati da sistemi complessi e frammentati. La gestione di diversi aspetti del nostro lavoro comporta l’accesso a più applicativi e ognuno può rappresentare una porta d’ingresso alle informazioni sensibili della nostra organizzazione. In un contesto passwordless, in cui non c’è nemmeno bisogno di conoscere le proprie credenziali, l’utente smette di costituire una potenziale falla alla sicurezza.
Una buona gestione della cybersecurity tocca diversi aspetti della quotidianità operativa:
- Condivisione delle informazioni: attraverso permessi chiari e predefiniti, gli utenti hanno visibilità immediata su quali dati possono essere condivisi all’esterno e quali restano interni, evitando richieste di approvazione continue.
- Tool e permessi: definire a monte gli accessi per ruolo consente alle persone di usare subito gli strumenti necessari, senza moltiplicare account o credenziali dedicate per ogni servizio.
- Sicurezza perimetrale e proattiva: i controlli su link e allegati ricevuti via email riducono il rischio di contenuti malevoli, permettendo agli utenti di operare con maggiore serenità e continuità.
- Gestione utenze: l’identità digitale diventa il punto centrale di accesso agli asset aziendali. Dopo un login sicuro, ogni utente può muoversi solo tra applicazioni e dati coerenti con il proprio ruolo, secondo policy definite centralmente.
Cyber security per le aziende: vantaggi del modello passwordless
I vantaggi di un approccio passwordless nella cyber security per le aziende coprono aspetti sia tecnici che operativi.
Primo fra tutti, si ottiene una maggiore sicurezza: eliminando le password non esistono più credenziali statiche intercettabili o riutilizzabili. Passkey e chiavi FIDO2 sfruttano la crittografia a chiave pubblica resistente al phishing, riducendo in modo drastico attacchi come keylogging e furto di credenziali. A guadagnarci è anche l’esperienza utente, perché l’accesso avviene in pochi secondi tramite un’azione fisica locale, come un PIN, un’impronta o il tocco su una chiave, senza dover ricordare o digitare password complesse. Questo porta anche a una riduzione dei costi IT, poiché diminuiscono le richieste di reset e la gestione quotidiana delle credenziali, liberando risorse del supporto tecnico.
Dal punto di vista normativo, conformità e controllo sono garantiti dall’adozione di standard come FIDO2, progettati per allinearsi ai requisiti di sicurezza e protezione dei dati richiesti da framework come NIST e GDPR. Sul piano organizzativo, la scalabilità è assicurata dall’integrazione nativa con Microsoft 365 ed Entra ID, che semplifica la gestione centralizzata delle identità e i processi di onboarding e offboarding. Tutto questo si traduce in un aumento della produttività, grazie a tempi di accesso ridotti, meno interruzioni operative e un’esperienza di lavoro più continua ed efficiente.
Soluzioni sicurezza informatica in Microsoft 365: metodi di autenticazione passwordless
Tra le soluzioni di sicurezza informatica in Microsoft 365 è incluso anche il supporto di diverse modalità di autenticazione passwordless.
Windows Hello for Business
Windows Hello for Business consente l’autenticazione attraverso biometria (impronta digitale, riconoscimento facciale) o PIN locale. E’ considerato una strong authentication perché include già nativamente due fattori. Il primo fattore è il device stesso, il secondo è l’identità confermata dalla biometria. Il PIN che inseriamo sul nostro PC in questo caso è diverso da una password: si tratta di una chiave legata allo sblocco del device e protetto attraverso modulo TPM (Trusted Platform Module – un chip per archiviare chiavi crittografiche) su quel device. La configurazione di Windows Hello for Business nel tenant avviene dal portale di InTune, alla sezione dedicata all’Enrollment dei device Windows.
Microsoft Authenticator (Phone Sign-in)
Microsoft Authenticator permette l’accesso senza password tramite notifica push o conferma biometrica/PIN. Il dispositivo dovrà in questo caso essere registrato e riconosciuto da EntraID.
In una procedura di Phone Sign-in, l’utente inserisce lo username e riceve una notifica in-app sul proprio telefono, per fornire la cosiddetta “proof of presence”. Immettendo il proprio PIN o i dati biometrici, viene sbloccata la PrivateKey, che si trova nell’hardware in cui è installato l’Authenticator, consentendo l’accesso alla sessione.
FIDO2 Security Keys & Passkey
Le chiavi hardware FIDO2 forniscono un’autenticazione robusta basata su uno scambio crittografico di challenge/response. A differenza di Windows Hello, dove le credenziali risiedono nel TPM del dispositivo, le chiavi FIDO2 memorizzano le credenziali direttamente sulla chiave fisica o token. L’identificazione può avvenire tramite USB, NFC, Bluetooth e persino con sensori biometrici integrati.
Con le passkey, il processo di accesso può funzionare in modo “accountless”, cioè non è necessario inserire neanche un nome utente per autenticarsi.
Certificate-based Authentication (CBA)
In presenza di un’infrastruttura pregressa molto complessa con una Certification Authority interna, la CBA usa certificati digitali per autenticare utenti e dispositivi riconosciuti da EntraID.
La configurazione richiede una Public Key Infrastructure aziendale già operativa e personale formato nella gestione dei certificati.
Passwordless e soluzioni di cyber security per onboarding e app di terze parti
Un elemento chiave in un’adozione passwordless efficace è la gestione dell’onboarding e delle eccezioni, come dispositivi persi, sostituiti o non ancora configurati. Tra le soluzioni di cyber security in Microsoft 365 questo ruolo è coperto dalla Temporary Access Pass (TAP): una credenziale temporanea, con scadenza definita, creata dall’amministratore per consentire il primo accesso e l’attivazione dei metodi passwordless.
La TAP è completamente configurabile in termini di validità temporale, numero di utilizzi e può essere revocata in qualsiasi momento, garantendo controllo e sicurezza. Una volta completata la configurazione inziale, associando i dispositivi a relativi PIN o biometria, la TAP scade automaticamente e l’utente opera esclusivamente in modalità passwordless.
Nella realtà quotidiana aziendale, il passwordless esprime il massimo valore quando viene esteso anche ad applicazioni di terze parti, sia SaaS sia on-premises.
Attraverso il Single Sign-On, Microsoft Entra ID gestisce l’autenticazione attraverso protocolli standard, permettendo di applicare i metodi passwordless anche a servizi esterni.
In uno scenario tipico, ad esempio, un commerciale che accede a un gestionale aziendale utilizza la propria identità Entra senza inserire credenziali locali sull’applicazione.
Con Application Provisioning, le applicazioni integrate via SSO vengono trattate come enterprise application, quindi governate dalle stesse policy di sicurezza e identity governance. Oltre all’accesso, viene automatizzata anche la sincronizzazione delle identità, evitando la creazione di account separati e semplificando onboarding e offboarding.
Il servizio Application Proxy consente infine di pubblicare in modo sicuro applicazioni legacy on-premises senza VPN, applicando pre-autenticazione Entra ID e criteri passwordless anche a sistemi non nativamente cloud.
Passwordless, il primo passo nella cyber security per piccole medie aziende
L’evoluzione della cyber security per piccole medie aziende sta ormai andando nella direzione di un mondo senza password. I sistemisti che effettuano IT security assesment per i propri clienti dovranno tenere in considerazione i rischi che comportano approcci ormai superati, incluso, in alcuni casi, l’uso esclusivo della MFA.
Le maggiori società di consulenza cyber security concordano su una cosa: anche questo modello, nato per aumentare il livello di sicurezza dei sistemi aziendali, non è più esente da rischi di violazione. Tra i più frequenti il SIM-Jacking, che sfrutta la vulnerabilità del secondo fattore tramite SMS, intercettando i codici di verifica della vittima, o l’MFA Hammering, in cui l’utente viene bombardato di richieste MFA, nel tentativo di costringerlo ad approvare un login fraudolento per sfinimento o per distrazione e che avviene quando chi attacca è riuscito ad intercettare una password debole. Per non parlare degli attacchi del tipo Adversary-in-the-Middle (AiTM), un sistema di phishing avanzato dove si inducono gli utenti a completare interazioni MFA su portali finti (ad esempio una finta pagina di login Microsoft), che in realtà autorizzano l’accesso dell’aggressore.
Tutti questi esempi ci mostrano come sia sempre più urgente superare l’approccio che vede la password come elemento centrale della sicurezza, perché troppo vincolato ai rischi dell’errore umano, presenti anche negli utenti più consapevoli. Un system security assesment è il primo passo per valutare come implementare il passwordless nella tua azienda.