Autentificarea prin parole, de peste trei decenii pilon al securității digitale, începe să-și piardă din relevanță în fața riscurilor cibernetice tot mai sofisticate. În era în care aproape jumătate dintre incidentele de securitate cibernetică implică parole compromise și practici frecvente de reutilizare a acestora, organizațiile au început să îmbrățișeze metode alternative, mai sigure și mai eficiente. În contextul creșterii presiunii pentru conformitate cu standardele internaționale de securitate, precum ISO/IEC 27001, trecerea la autentificarea fără parolă nu mai este doar o opțiune, ci o necesitate strategică.
Autentificarea passwordless: o revoluție tehnologică în securitate
Metodele tradiționale de autentificare, bazate pe memorarea și introducerea parolelor, au demonstrat limite clare în fața atacurilor cibernetice moderne, precum phishing-ul, credential stuffing sau atacurile brute force. Pentru a contracara aceste vulnerabilități, tehnologiile passwordless, în special passkeys, câștigă rapid teren pe plan global. Acestea funcționează pe baza unui sistem de chei criptografice: la crearea unei passkeys, dispozitivul generează o pereche de chei, dintre care cheia privată rămâne stocată local, în timp ce cheia publică este înregistrată pe server. În timpul autentificării, serverul lansează un challenge, iar dispozitivul semnează acest challenge cu cheia privată, asigurând o securitate maximă, deoarece cheia privată nu părăsește niciodată dispozitivul. Astfel, chiar și dacă datele sunt interceptate, acestea devin inutilizabile pentru potențialii atacatori.
Pentru specialiști, această metodă depășește nivelurile tradiționale de autentificare, precum AAL2 sau AAL3, conform ghidurilor NIST, fiind considerată sigură și robustă. În plus, actualizările recente ale NIST recunosc oficial utilizarea autentificatorilor sincronizabili, deși subliniază necesitatea unei gestionări riguroase a riscurilor asociate pierderii dispozitivului.
Conformitatea ISO/IEC 27001 în era autentificării moderne
Integrarea passkeys în procesul de gestionare a securității informației trebuie să fie cu mult mai mult decât o simplă actualizare tehnologică. Standardul ISO/IEC 27001, recunoscut internațional pentru că oferă un cadru riguros de gestionare a riscurilor de securitate, impune clar modul în care aceste noi tehnologii trebuie să fie implementate și documentate. Revisuirea din 2022 a standardului a reorganizat anexele, punând accent pe controale legate de acces, autentificare și protecția informațiilor.
Organizațiile trebuie să demonstreze că metodologiile adoptate pentru passkeys respectă sau depășesc cerințele existente, elimină vulnerabilități precum phishing-ul sau credential stuffing și gestionează riscurile asociate, precum pierderea dispozitivului. În cazul accesului la conturile privilegiate, se recomandă implementarea passkeys legate de dispozitiv pentru un nivel maxim de securitate, în timp ce pentru utilizatorii obișnuiți, variantelor sincronizabile li se poate acorda o acceptare mai largă, însă cu măsuri de recuperare robuste.
Provocări și perspective în adoptarea tehnologiei passwordless
Chiar dacă beneficiile sunt evidente, trecerea la autentificarea fără parolă implică și provocări semnificative. În prezent, majoritatea organizațiilor optează pentru un mediu mixt, unde parolele și passkeys coexistă, lucru care poate genera confuzii, dificultăți de audit și riscuri de securitate dacă politicile nu sunt bine formulate. Recuperarea conturilor, în special în cazul pierderii dispozitivului, rămâne o zonă delicată, solicitând soluții precum coduri de rezervă, autentificatori multipli sau verificări manuale, toate acestea trebuie să fie documentate și integrate în planurile de securitate.
Cu toate acestea, tendința spre adoptarea pe scară largă a passkeys continuă să se accelereze. Organizații mari, din diverse domenii, implementează deja aceste soluții pentru sute de milioane de utilizatori, indicând o schimbare de paradigmă în modul în care gestionăm autentificarea digitală. Pe termen lung, evoluțiile tehnologice și reglementările internaționale vor modela tot mai mult această nouă frontieră a securității, în condițiile în care companiile și utilizatorii devin tot mai conștienți de importanța unui mediu digital sigur.
