Uno dei problemi nella gestione delle identità e degli accessi è quello dell’esperienza di utilizzo, o user experience. Si tratta, in buona sostanza, di tutte quelle buone pratiche di design di interfacce e tecnologie che consentono di trasformare un’esperienza abituale, come l’accesso a una rete, in un gesto semplice e senza complicazioni.
Più ci si allontana da questo concetto e più gravi diventano le ripercussioni sia in termini di adozione della tecnologia, sia in termini di sicurezza. Il che, a pensarci bene, diventa paradossale e pericoloso. Vediamone le ragioni.
Gestione identità e accessi: due diversi e opposti punti di vista
La gestione delle identità e degli accessi va considerata sempre secondo due punti di vista opposti: quello dell’IT e quello dell’utente. Il primo, per natura, deve stare attento alle implicazioni tecnologiche, in particolare quelle legate alla sicurezza, e matura ogni scelta su questo principio, anche a scapito della semplicità.
L’utente finale, dal canto suo, ignora o comunque sottostima le questioni legate alla sicurezza e pensa unicamente all’obiettivo finale: accedere al sistema. Per perseguirlo deve seguire una procedura che gli viene imposta, ma più questa è complessa e maggiore sarà la frustrazione nell’utilizzarla. Il tutto si tradurrà in una minore user experience per l’utente.
Dalla parte dell’utente
L’esempio più classico è quello della password. Supponiamo che un sistema di Multi-Factor Authentication si basi sull’utilizzo di username-password, riconoscimento della posizione del proprio device e messaggio SMS OTP. Accedere ogni volta a un sistema di cui si ha bisogno di frequente trasforma l’esperienza in un vero e proprio incubo.
Così l’utente è invogliato a scegliere una password semplice e con scarso grado di protezione, e a lasciare il device sempre nello stesso punto, in modo da agevolare i successivi accessi. Una pratica che potrebbe essere sfruttata da un criminale informatico per autenticarsi al posto dell’utente. E così, a causa di una user experience scadente, crolla anche l’esigenza dell’IT: si tratta di un fallimento per tutto il sistema di gestione identità e accessi. Come evitarlo?
Tre condizioni per una migliore user experience
Una user experience moderna ed efficace dovrebbe trasformare il processo di autenticazione e gestione identità e accessi come in un gesto semplice, spontaneo, che una volta eseguito non ha bisogno di essere ripetuto più volte in un arco temporale ristretto. Si tratta di scelte di design su cui hanno poco potere sia l’IT che l’utente, e che sono invece sviluppate da chi si occupa dell’identity access management.
Una user experience efficace è dunque una caratteristica intrinseca del prodotto e dovrebbe soddisfare almeno tre condizioni per accontentare le esigenze sia di chi si occupa della sicurezza aziendale sia di chi lavora con la rete.
La tecnologia deve adattarsi alle esigenze dell’utente
La prima è l’integrazione di un sistema di Single Sign-On (SSO), che dia accesso a tutte le risorse con un’unica autenticazione.
Inoltre, una serie di parametri e opzioni impostati in seguito permettono di personalizzare durata ed area operativa del processo.
La seconda è di offrire una Multi-Factor Authentication mettendo a disposizione vari fattori e diversi modi di implementarli su dispositivi differenti. Non solo PC, per intenderci, ma anche smartphone, tablet e, perché no, smart-watch.
Inoltre, la gestione di identità e accessi dovrebbe essere accessibile sempre e ovunque, caratteristica la cui importanza è emersa soprattutto con la diffusione dello smart-working.
Riconoscere i dispositivi a basso rischio
Infine, la gestione delle identità e degli accessi dovrebbe avere “memoria”. In altre parole: dovrebbe integrare una tecnologia capace di riconoscere un dispositivo, accertarsi in modo automatico della sua autenticità e garantirgli, per questo, una via di accesso preferenziale.
Per esempio, individuandolo come dispositivo a basso rischio e disabilitando temporaneamente, in modo automatico, uno dei fattori di autenticazione.
Questo insieme di elementi, lavorando in modo organico, garantiscono una user experience efficace per l’utente finale.
Al tempo stesso, garantiscono al reparto IT efficaci soluzioni per la sicurezza legata al tema dell’Identity and Access Management.
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.