Come migrare all'autenticazione senza password in 3 righe di codice

Nel mondo digitale, di fatto, migliorare la sicurezza di un sistema significa quasi sempre peggiorare la user experience. Tuttavia, se scegli la soluzione MFA giusta, puoi semplificare la user experience quotidiana e beneficiare di un'implementazione senza significativi sforzi nello sviluppo.
Romain Breysse - inWebo

Autore: Romain Breysse, Cybersecurity Engineer

Dopo 10 anni di esperienza nel settore delle telecomunicazioni su molti prodotti e in diverse posizioni (IT, marketing, pre sales) in Francia e all'estero, Romain si è unito a inWebo con il desiderio di conoscere meglio il mondo della cyber defence e di sviluppare la sua expertise.

Come Pre Sales Engineer di inWebo, Romain assiste clienti e potenziali clienti nell'implementazione della soluzione di autenticazione forte inWebo MFA e nell'applicazione delle migliori pratiche in materia di cybersecurity.

Nel mondo digitale, è un dato di fatto che migliorare la sicurezza di un sistema significa quasi sempre peggiorare l'esperienza dell'utente.

La nostra esperienza quotidiana ce lo dimostra ad ogni connessione con le famose password: ogni anno dobbiamo aumentare la lunghezza delle nostre credenziali di accesso, aggiungere caratteri speciali, minuscole, maiuscole ecc...., insomma, aumentare la complessità per rafforzare la sicurezza dei nostri accessi.

Non abbiamo scelta: in questo mondo connesso, i cyber attacchi si moltiplicano e fanno notizia ogni settimana - social engineering, password leakage, phishing, malware, ransomware ecc. Le aziende devono mettere in atto misure drastiche per combattere queste nuove minacce. La sicurezza informatica è diventata essenziale.

Così quando il CISO di un’azienda annuncia che rafforzerà la sicurezza, gli utenti si spaventano, tremano: cosa dovremo fare domani per accedere alle nostre e-mail?

  • Digitare una password di 20 caratteri? Aiutatemi!
  • Usare una chiave fisica in più? Ho già abbastanza chiavi!
  • Sicurezza Zero Trust? Non avrò più accesso a nulla?
  • Una politica passwordless? Ma dov'è la sicurezza?
  • O aggiungere l’autenticazione forte su tutti gli accessi? Cos'è questo nome barbaro, sarà peggio della password? ... No!

In questo articolo vi spiegheremo che queste paure sono superabili e vi faremo vedere, con una dimostrazione tecnica, come la soluzione di autenticazione forte inWebo MFA riesca a migliorare la user experience rafforzando la sicurezza!

Addio password. Lunga vita al passwordless!

Tutti usano una password; nel corso degli anni ci siamo abituati ad accedere con la combinazione login/password.

Tuttavia, con lo sviluppo della potenza di calcolo dei computer e la messa in rete di tutte le applicazioni, il livello di sicurezza sta diminuendo: proteggere gli account di banche e clienti con una semplice password non è più ragionevole.

Tempo di decifrare la password

Naturalmente, possiamo sempre scegliere una password più lunga e/o più complessa per rafforzare la sicurezza, ma l'impatto negativo sull'esperienza dell'utente è immediato.

Questo metodo non è sostenibile nel tempo e mostra già oggi i suoi limiti, sia umani che tecnici.

L’autenticazione forte, essenziale per la protezione, rende l'esperienza del cliente più complessa?

Di fronte alle nuove minacce, i regolamenti si stanno inasprendo per proteggere l'accesso in modo più efficace. In risposta a ciò, stanno emergendo tecnologie per sostituire la password, come ad esempio l’autenticazione forte.
L’autenticazione forte consiste nel combinare diversi fattori per confermare l'identità di un utente generando una password una tantum (OTP o One Time Password) per ogni connessione:

Cosa possiedo

un fattore possession unico per ogni utente: un token

Cosa conosco

un fattore knowledge che solo l'utente conosce

Cosa sono

un fattore biometrico come un'impronta digitale, necessariamente unico per l'utente

Per esempio, il regolamento europeo PSD2 richiede alle banche e ai commercianti online di rendere sicuro l'accesso con un'autenticazione forte il più presto possibile (la scadenza viene regolarmente rimandata perché gli attori non sono ancora pronti). Le banche hanno finora rafforzato la sicurezza inviando una password unica via SMS, ma anche questa tecnica mostra i suoi limiti in termini di sicurezza e facilità d'uso.

Online si moltiplicano gli articoli che sottolineano la complessità dell’autenticazione forte, che rischia di spingere gli utenti a rinunciare ai loro acquisti online compromettendo il fatturato dei rivenditori online.

Questa paura a nostro avviso è infondata perché inWebo ha sviluppato la risposta giusta: una soluzione di autenticazione forte passwordless, con un livello di sicurezza estremamente alto e in grado di garantire una user experience ancora più semplice rispetto alla combinazione login/password.

inWebo MFA: come la soluzione passwordless semplifica la user experience

Passwordless: e se potessi sostituire la tua password con un semplice codice PIN e allo stesso tempo aumentare il livello di sicurezza?

Oggi, quotidianamente, l'utente digita una password di 10 caratteri, come ad esempio "J_OublIeMonPwd?...e ciò non è molto pratico.

Domani, con inWebo, puoi passare all’approccio passwordless e permettere al tuo utente di accedere semplicemente digitando un PIN facile da ricordare (un fattore knowledge di 4 o 6 cifre) all'interno del suo fattore possession (come il nostro browser token, che sarà il browser predefinito per il tuo utente).

deviceless browser token

In sintesi, l’autenticazione forte passwordless di inWebo MFA

Senza autenticazione a più fattori

Senza l’autenticazione a più fattori, un utente digita una password laboriosa e poco sicura.

Con inWebo MFA

Con la soluzione di autenticazione forte inWebo, l'utente digita un fattore knowledge semplice da ricordare: 4 cifre.

Come è possibile? Come posso garantire la sicurezza dell'accesso con solo 4 cifre?

È importante capire che le 4 cifre del PIN sono solo uno dei fattori necessari per l'autenticazione. Queste 4 cifre sono inutili da sole. Possono essere utilizzate solo sul fattore possession creato dall'utente: nell'esempio precedente un browser token scelto e creato durante la fase di registrazione*.

L'inserimento del proprio fattore knowledge è possibile solo su un browser che è stato trasformato in un fattore possession, cioè un browser trusted.

D'altra parte, stiamo parlando di un fattore knowledge e non di una password classica: il fattore non viene trasmesso attraverso la rete ad ogni autenticazione e non viene memorizzato in un database classico. Di conseguenza, non può essere attaccato come una password normale.

Come farà un utente a creare il suo fattore possession, il suo token?

Per autenticarsi, l'utente dovrà fare un ulteriore passaggio per creare il suo fattore possession. Ma solo la prima volta: una volta creato, quotidianamente, inserirà solo il suo codice PIN.

Questa procedura di registrazione iniziale, o enrollment, dura circa 1 minuto: l'utente riceverà, per esempio, una e-mail con un link, sul quale dovrà cliccare. Una nuova pagina si aprirà, quindi, nel suo browser predefinito chiedendogli di impostare il suo fattore knowledge.

Questo è tutto. L'utente in questo modo avrà definito i suoi due fattori, creando sia un browser (il suo browser predefinito) che il suo fattore knowledge. Una procedura veloce ed efficiente.

Da quel momento in poi potrà autenticarsi solo attraverso questo browser, diventato il suo fattore possession indicando il suo fattore knowledge.

Prima/dopo con la soluzione passowrdless di inWebo

Dimentica il mal di testa da password...

complessità della password

Semplifica l'esperienza di login

complessità della password
Ecco come l’autenticazione forte di inWebo semplifica drasticamente l'esperienza dell'utente.

Come vantaggio aggiuntivo, abbiamo anche notato che i team di assistenza sono meno sollecitati dalle richieste di reimpostare password dimenticate o bloccate. L'utente farà inevitabilmente meno errori con un semplice fattore knowledge sotto forma di un codice PIN da ricordare.

Così vincono tutti: gli utenti e i team di assistenza.

Come migrare all’autenticazione a due o più fattori passwordless in un batter d'occhio

password di login
Oggi usi una coppia login/password per permettere ai tuoi utenti di autenticarsi. Tecnicamente è un semplice modulo HTML che ti permette di convalidare questi dati nel tuo database.
codice inWebo
Per trasformare questo modulo in un sistema di autenticazione forte devi solo:

  • aggiungere 3 righe di codice,
  • aggiungere una funzione javascript,
  • nascondere la forma originale
    e poi fare una call API alla nostra piattaforma.

Una riga di codice per inizializzare la libreria inWebo:

codice inWebo
Una funzione javascript che lancerà il browser token inWebo quando la pagina viene caricata.
codice inWebo
Due righe di codice all'interno della tua pagina web che sostituiranno il tuo attuale modulo di login/password. Questa parte gestisce la visualizzazione dell'interfaccia utente inWebo.
codice inWebo
Questo è tutto: così puoi ottenere l’autenticazione a due o più fattori, generare password una tantum utilizzando la tecnologia inWebo.
Autenticazione passwordless
Tutto quello che devi fare è recuperare la password unica (OTP) generata dal nostro browser token. Questa sarà automaticamente "pubblicata" nel tuo modulo nel campo della password e potrai convalidarla usando la nostra API AuthenticateExtended per farla convalidare tramite la nostra piattaforma SaaS:
inWebo API Rest

In sintesi, si metterà in atto il seguente processo:

inWebo genera un OTP

inWebo browser token (Deviceless MFA) genera un OTP

Il tuo modulo riceve l’OTP

Il tuo modulo riceve l’OTP nel campo "password" che viene convalidato tramite una chiamata API alla nostra piattaforma

inWebo conferma l’OTP

La piattaforma inWebo SaaS conferma l’OTP

inWebo genera un OTP

inWebo browser token (Deviceless MFA) genera un OTP

Il tuo modulo riceve l’OTP

Il tuo modulo riceve l’OTP nel campo "password" che viene convalidato tramite una chiamata API alla nostra piattaforma

inWebo conferma l’OTP

La piattaforma inWebo SaaS conferma l’OTP

Naturalmente, se lo desideri puoi anche andare oltre e personalizzare ampiamente la soluzione.
A questo scopo puoi trovare la nostra documentazione online con esempi di codice per iniziare rapidamente la procedura.

Per esperienza, un singolo sviluppatore può implementare la nostra soluzione in meno di un'ora con il nostro design standard e in 2 giorni se vuoi un'integrazione più avanzata con il tuo design!

Migliora l'esperienza di connessione e passa senza sforzo al passwordless

Niente più scuse: le tue applicazioni vanno messe in sicurezza. A te la scelta: puoi andare avanti con una password poco sicura e scomoda da usare per i tuoi utenti, e quindi rimanere esposto a tutti gli attacchi informatici esistenti, oppure puoi decidere di rafforzare la tua sicurezza con un sistema di autenticazione forte E facile da usare per i tuoi utenti!

I 2 messaggi da ricordare sono:

Semplifica l'esperienza dell'utente

L’autenticazione forte non complica l'esperienza quotidiana dell'utente, al contrario la semplifica

Veloce e facile da implementare

inWebo MFA può essere implementato in modo molto efficiente senza significativi sforzi di sviluppo.

Webinar

Autenticazione passwordless: un modo molto semplice per rendere felici e sicuri i tuoi utenti

Contattaci per una demo o per richiedere il tuo account di prova

Le nostre ultime notizie

Richiedi una demo