Le passkey sono adatte per le aziende?

Tutti i principali colossi della tecnologia promuovono le passkey come un’efficace e comoda soluzione sostitutiva delle password, in grado di porre fine al phishing e alle fughe di credenziali. L’idea di base è semplice: si accede con una chiave crittografica conservata in modo sicuro in uno speciale modulo hardware sul dispositivo. Tale chiave viene quindi sbloccata tramite dati biometrici o un PIN. Abbiamo già trattato in dettaglio lo stato attuale delle passkey per gli utenti privati in due articoli (sulla terminologia e sui casi d’uso di base e sugli scenari più complessi). Tuttavia, le aziende hanno esigenze e approcci completamente diversi alla sicurezza informatica. Quindi, quanto sono efficaci le passkey e FIDO2 WebAuthn in un ambiente aziendale?

Motivi per cui le aziende dovrebbero passare alle passkey

Come per qualsiasi migrazione su larga scala, il passaggio alle passkey richiede un solido business case. Sulla carta, le passkey risolvono contemporaneamente diversi problemi urgenti:

• Riducono il rischio di violazioni causate dal furto di credenziali legittime: la resistenza al phishing è il principale vantaggio pubblicizzato delle passkey.
• Rafforzano le difese contro altri attacchi alle identità, come il brute-forcing e il credential stuffing.
• Sono di supporto per la conformità. In molti settori, le autorità di controllo impongono l’uso di metodi di autenticazione efficaci per i dipendenti, e solitamente le passkey sono idonee.
• Riducono i costi. Se un’azienda opta per l’utilizzo di passkey archiviate su laptop o smartphone, può raggiungere un elevato livello di sicurezza senza dover sostenere costi aggiuntivi per dispositivi USB, smart card e la relativa gestione e logistica.
• Aumentano la produttività dei dipendenti. Un processo di autenticazione fluido ed efficiente fa risparmiare tempo a ogni dipendente ogni giorno e riduce i tentativi di accesso non riusciti. In genere, il passaggio alle passkey va di pari passo con l’eliminazione della tanto detestata modifica periodica delle password.
• Alleggerisce il carico di lavoro dell’helpdesk riducendo il numero di ticket relativi a password dimenticate e account bloccati. (Ovviamente, si verificano anche altri tipi di problemi, come lo smarrimento di dispositivi contenenti passkey).

Quanto è diffusa l’adozione delle passkey?

Un report della FIDO Alliance suggerisce che l’87% delle organizzazioni intervistate negli Stati Uniti e nel Regno Unito è già passatato all’uso delle passkey o è in procinto di farlo. Tuttavia, un’analisi più attenta del report rivela che questa cifra impressionante include anche le consuete opzioni aziendali, come le smart card e i token USB per l’accesso agli account. Sebbene alcuni di questi siano effettivamente basati su WebAuthn e passkey, non sono esenti da problemi. Sono piuttosto costosi e creano un carico continuo sui team IT e di sicurezza informatica per quanto riguarda la gestione di token e schede fisiche: emissione, consegna, sostituzione, revoca e così via. Per quanto riguarda le soluzioni ampiamente pubblicizzate basate su smartphone e persino sulla sincronizzazione cloud, il 63% degli intervistati ha dichiarato di utilizzare tali tecnologie, ma la portata completa della loro adozione resta poco chiara.

Sono poche e rare le aziende che adattano l’intera forza lavoro alle nuove tecnologie. Il processo può rivelarsi complesso dal punto di vista organizzativo, nonché alquanto costoso. Nella maggior parte dei casi, l’implementazione avviene in fasi. Sebbene le strategie pilota possano variare, le aziende solitamente iniziano con i dipendenti che hanno accesso alla proprietà intellettuale (39%), gli amministratori di sistema IT (39%) e i dirigenti di alto livello (34%).

Potenziali ostacoli all’adozione delle passkey

Quando un’organizzazione decide di passare alle passkey, inevitabilmente dovrà superare una serie di problematiche tecniche. Solo questi argomenti meriterebbero un articolo a parte. Ma per questo articolo, atteniamoci alle questioni più evidenti:

• Difficoltà (e talvolta addirittura impossibilità) di migrare alle passkey quando si utilizzano sistemi IT legacy e isolati, in particolare Active Directory in sede
• Frammentazione degli approcci di archiviazione delle passkey all’interno degli ecosistemi Apple, Google e Microsoft, che complica l’uso di una singola passkey su dispositivi diversi
• Ulteriori difficoltà di gestione se l’azienda consente l’uso di dispositivi personali (BYOD) o, al contrario, ha divieti rigorosi come quello del Bluetooth
• Costi correnti per l’acquisto o il leasing di token e la gestione di dispositivi fisici
• Requisito specifico di chiavi hardware non sincronizzabili per scenari di elevata sicurezza con attestazione (e anche in questo caso, non tutti sono idonei: la FIDO Alliance fornisce raccomandazioni specifiche su questo)
• Necessità di formare i dipendenti e di rispondere ai loro timori sull’uso della biometria
• Necessità di creare nuovi criteri dettagliati per l’IT, la sicurezza informatica e l’helpdesk per affrontare i problemi relativi alla frammentazione, ai sistemi legacy e ai dispositivi smarriti (inclusi i problemi relativi alle procedure di onboarding e offboarding)

Cosa dicono le autorità di controllo sulle passkey?

Nonostante tutte queste problematiche, il passaggio alle passkey potrebbe essere una conclusione scontata per alcune organizzazioni, se richiesto da un’autorità di controllo. Le principali autorità di controllo nazionali e di settore generalmente supportano le passkey, direttamente o indirettamente:

Le linee guida sull’identità digitale NIST SP 800-63 consentono l’uso di “autenticatori sincronizzabili” (una definizione che implica chiaramente le passkey) per il livello di garanzia dell’Authenticator 2 e di autenticatori associati al dispositivo per il livello di garanzia dell’Authenticator 3. Pertanto, l’uso di passkey soddisfa con sicurezza i requisiti durante gli audit ISO 27001, HIPAA e SOC 2.

Nel suo commento su DSS 4.0.1, il PCI Security Standards Council cita esplicitamente FIDO2 come una tecnologia che soddisfa i suoi criteri di “autenticazione resistente al phishing”.

La Direttiva UE sui servizi di pagamento 2 (PSD2) è redatta in modo indipendente dalla tecnologia. Tuttavia, per le transazioni finanziarie importanti è richiesta l’autenticazione complessa del cliente (SCA, Strong Customer Authentication) e l’uso di dispositivi basati su infrastrutture a chiave pubblica, nonché il collegamento dinamico dei dati di pagamento con la firma della transazione. Le passkey supportano questi requisiti.

Anche le direttive europee DORA e NIS2 sono indipendenti dalla tecnologia e generalmente richiedono solo l’implementazione dell’autenticazione a più fattori, un requisito che le passkey certamente soddisfano.

In breve, la scelta specifica delle passkey non è obbligatoria per la conformità normativa, ma molte organizzazioni ritengono che sia la soluzione più economicamente vantaggiosa. Tra i fattori che fanno pendere la bilancia a favore delle passkey ci sono l’ampio utilizzo di servizi cloud e SaaS, l’implementazione continua di passkey per siti web e app rivolti ai clienti e un parco ben gestito di computer e smartphone aziendali.

Roadmap aziendale per la transizione alle passkey

1. Crea un team interfunzionale. Include IT, sicurezza informatica, titolari aziendali di sistemi IT, supporto tecnico, risorse umane e comunicazioni interne.
2. Crea un inventario dei sistemi e metodi di autenticazione. Identifica dove WebAuthn/FIDO2 è già supportato, quali sistemi possono essere aggiornati, dove può essere implementata l’integrazione Single Sign-On (SSO), dove è necessario creare un servizio dedicato per tradurre i nuovi metodi di autenticazione in quelli supportati dai tuoi sistemi e dove dovrai continuare a utilizzare le password, con un monitoraggio SOC potenziato.
3. Definisci la tua strategia per le passkey. Decidi se utilizzare chiavi di sicurezza hardware o passkey archiviate su smartphone e laptop. Pianifica e configura i tuoi metodi di accesso principali, nonché le opzioni di accesso di emergenza, come i codici di accesso temporanei (TAP, Temporary Access Passcode).
4. Aggiorna i criteri aziendali sulla sicurezza delle informazioni per riflettere l’adozione delle passkey. Stabilisci regole dettagliate per l’iscrizione e il recupero. Stabilisci protocolli per i casi in cui il passaggio alle passkey non è previsto (ad esempio, perché l’utente deve fare affidamento su un dispositivo legacy che non supporta le passkey). Sviluppa misure ausiliarie per garantire l’archiviazione sicura delle passkey, come la crittografia obbligatoria dei dispositivi, l’uso di dati biometrici e la gestione unificata degli endpoint o i controlli dell’integrità dei dispositivi di gestione della mobilità.
5. Pianifica l’ordine di implementazione per i diversi sistemi e gruppi di utenti. Stabilisci una sequenza temporale lunga per identificare e risolvere i problemi passo dopo passo.
6. Abilita le passkey nei sistemi di gestione degli accessi come Entra ID e Google Workspace e configura i dispositivi consentiti.
7. Avvia un progetto pilota, iniziando con un piccolo gruppo di utenti. Raccogli feedback e perfeziona le tue istruzioni e il tuo approccio.
8. Collega gradualmente i sistemi che non supportano nativamente le passkey utilizzando SSO e altri metodi.
9. Forma i dipendenti. Avvia una campagna di adozione delle passkey, fornendo agli utenti istruzioni chiare e collaborando con i “champion” di ogni team per accelerare la transizione.
10. Monitora i progressi e migliora i processi. Analizza le metriche di utilizzo, gli errori di accesso e i ticket di supporto. Adegua di conseguenza i criteri di accesso e ripristino.
11. Elimina gradualmente i metodi di autenticazione legacy quando il loro utilizzo scende a percentuali a una sola cifra. Innanzitutto, elimina i codici monouso inviati tramite canali di comunicazione non sicuri, come SMS ed e-mail.