Scegliere una soluzione di autenticazione a più fattori è una decisione che vi accompagnerà per dieci anni, travestita da semplice voce di capitolato. Questa guida raccoglie le domande che distinguono le soluzioni che vi proteggono senza farsi notare da quelle che, altrettanto silenziosamente, diventeranno il vostro prossimo progetto di migrazione.
Fiducia
Fidatevi del modello di sicurezza. Le soluzioni basate sulla crittografia a chiave pubblica offrono garanzie più solide rispetto agli schemi a segreto condiviso: non esiste un archivio centrale di segreti da violare, né alcun dato noto a entrambe le parti. Diffidate della crittografia proprietaria: preferite fondamenta aperte e sottoposte ad audit.
Conoscete le fondamenta tecnologiche. Dove vengono generate le chiavi? Dove sono conservate? Una chiave creata e custodita all’interno dell’elemento hardware del telefono non può essere esportata né clonata; un seed consegnato tramite QR code durante la registrazione è sicuro solo quanto lo è quella consegna.
Valutate chi detiene il controllo
On-premise o SaaS. Dove viene eseguita la soluzione e che cosa accade alla vostra autenticazione se il fornitore subisce un’interruzione del servizio, o una violazione? Se le autorità di controllo vi chiedono dove risiedono i dati di autenticazione, avete una risposta che dipende da voi?
Comunicazioni verificabili. Potete vedere e verificare ciò che la soluzione invia in rete? Qui entra in gioco la verifica delle transazioni: l’utente deve vedere che cosa sta approvando, e l’approvazione deve essere legata crittograficamente esattamente a quel contenuto.
Non dimenticate le normative
Dove verranno conservati i dati e avete davvero bisogno di affidare dati personali al fornitore? Per le organizzazioni dell’UE, il GDPR rende la questione concreta. Nel fintech, i requisiti di autenticazione forte del cliente e di dynamic linking previsti dalla PSD2 stabiliscono quali soluzioni siano addirittura ammissibili. Possono valere anche requisiti di resilienza e disponibilità: la soluzione può funzionare in modo ridondante sotto il vostro controllo?
Costo totale di proprietà
I costi di licenza sono la parte visibile. Considerate anche:
- Dipendenze da altri prodotti: richiede altri prodotti, directory o hardware di cui ancora non disponete?
- Costi di manutenzione e aggiornamenti di versione.
- Costi per il personale: amministrazione quotidiana, supporto agli utenti e formazione.
- Tempi di messa in produzione: ogni settimana di configurazione è stipendio speso prima ancora che esista una qualsiasi protezione.
- Costi opportunità: la soluzione andrà ancora bene quando aggiungerete la firma dei documenti, nuove applicazioni o un’ondata di nuovi utenti dopo una fusione?
Attenzione agli SMS
I codici via SMS possono essere intercettati, sottratti tramite SIM swap e carpiti con il phishing, e non conservano alcuna traccia di ciò che l’utente ha effettivamente visto al momento dell’approvazione. Le autorità di controllo se ne sono accorte. Se oggi il vostro secondo fattore è l’SMS, consideratelo un ponte di passaggio, non una destinazione.
L’esperienza utente decide tutto
Una sicurezza che infastidisce gli utenti finisce per essere aggirata, e un controllo aggirato è peggio di nessun controllo, perché sul report di conformità appare comunque in verde. Confrontate l’esperienza hardware (che cosa devono portare con sé gli utenti?), l’esperienza software (quanti tocchi servono? quante possibili modalità di errore?) e l’esperienza dell’amministratore (quanto tempo richiede davvero registrare un singolo utente?). Anche la privacy fa parte dell’esperienza: una soluzione che accumula dati degli utenti genera un rischio a sé.
E adesso?
Qualsiasi forma di sicurezza è meglio di nessuna sicurezza, ma i costi di migrazione sono reali, quindi scegliete qualcosa che non diventerà presto troppo stretto per voi. Mettete alla prova la soluzione nel vostro ambiente con un progetto pilota: un VPN reale, un’applicazione reale, una manciata di utenti reali. In una settimana vi dirà più di quanto una matrice di funzionalità possa dirvi in un trimestre.