Autenticazione passwordless in un contesto enterprise

Una delle principali criticità nei sistemi informativi è rappresentata dal fattore umano: per quanto complessi e sofisticati possano essere un sistema informatico e le sue misure di sicurezza, l'imperizia degli utenti, la loro pigrizia o banali disattenzioni possono compromettere l'integrità, la disponibilità e la confidenzialità dei sistemi informatici e dei dati conservati. Risulta quindi fondamentale progettare i sistemi informatici con un'attenzione particolare verso l'usabilità, fornendo agli utenti modalità di accesso ai sistemi che, se da un lato possano garantire un adeguato livello di sicurezza, dall'altro risultino chiare e semplici verso l'utente. Tradizionalmente l'accesso ai sistemi informatici è garantito mediante l'uso di autenticazioni basate sul fattore della conoscenza, come password o pin: questo comporta che spesso la sicurezza dei sistemi venga compromessa dall'uso di credenziali di autenticazione deboli o riuso delle stesse su sistemi differenti. Tuttavia, grazie alla sempre più pervasiva presenza dei dispositivi mobile e specifici obblighi normativi, oggigiorno sono sempre più diffusi sistemi di autenticazione passwordless, basate su fattori di inerenza o di possesso. Scopo del progetto di tesi è lo studio e l'implementazione di un sistema di autenticazione passwordless per un contesto aziendale: nella tesi verranno analizzate e comparate le modalità di autenticazione basate su inerenza e possesso, fornendo una panoramica degli attuali standard di mercato, con particolare enfasi sullo standard webauthn. Verrà inoltre implementato un portale di autenticazione aziendale basato su WebAuthn che permetta l'autenticazione tramite l'uso di token fisici fido2 e anche un sistema di Single Sign-On.