Che cos'è l'autenticazione a due fattori?

Le violazioni dei dati sono sempre più frequenti al giorno d'oggi e hanno un impatto allarmante sulle aziende a livello globale, per un totale di oltre duemila miliardi di dollari di danni annuali. Le organizzazioni proseguono la loro attività per proteggere la propria infrastruttura digitale e le proprie risorse, è chiaro comunque che l'autenticazione a fattore singolo (e in particolare l'autenticazione basata su password) è tutt'altro che sufficiente. Le password sono facilmente compromesse, soprattutto a causa di una loro scarsa salvaguardia, ma anche perché vengono cambiate raramente, riutilizzate tra gli account, condivise frequentemente e spesso conservate in un luogo non sicuro.

In quasi tutti i casi d'uso aziendali è oggi necessaria l'aggiunta di un secondo fattore per l'autenticazione degli utenti.

L'autenticazione a due fattori fornisce un ulteriore livello di protezione contro molti fra i tipi più comuni di minacce informatiche, tra cui:

• Password rubate: Come accennato in precedenza, la scarsa sicurezza delle password ne semplifica il furto. La 2FA garantisce che non sia sufficiente una password rubata per violare un account.
• Attacchi brute force (hacking delle password): Gli hacker utilizzano una potenza di calcolo sempre più accessibile per generare casualmente le password fino a "craccarne" il codice. Ma la potenza di calcolo non può violare un secondo fattore.
• Phishing: Il phishing è uno dei mezzi più comuni ed efficaci per rubare le credenziali degli utenti. Anche nel caso in cui un nome utente e una password vengano rubati tramite un attacco di phishing, la 2FA protegge dall'accesso non autorizzato.
• Ingegneria sociale: Gli hacker più abili utilizzano sempre più spesso i social media per sferrare attacchi che inducono gli utenti a fornire volontariamente le proprie credenziali. Senza il secondo fattore però, l'hacker non può accedere all'account.

Il flusso di lavoro di base per l'accesso 2FA è ormai familiare a chiunque. Sebbene le specifiche differiscano in base ai fattori utilizzati, il processo di base è il seguente:

1. L'applicazione/sito web richiede l'accesso all'utente.
2. L'utente fornisce il primo fattore. Questo primo fattore è quasi sempre qualcosa che l'utente "conosce", come la combinazione nome utente/password o un codice di accesso univoco generato da un token hardware o da un'applicazione per smartphone.
3. Il sito/l'app convalida il primo fattore e quindi chiede all'utente di fornire il secondo fattore. Questo secondo fattore è in genere qualcosa che l'utente "ha", ad esempio un token di sicurezza, un documento identificativo, un'app per smartphone, ecc.
4. Una volta che il sito/l'app ha convalidato il secondo fattore, all'utente viene concesso l'accesso.

Gli autenticatori e i token di autenticazione comprendono quattro categorie principali: qualcosa che si possiede, qualcosa che si conosce, qualcosa che si è o un luogo dove si è.

• Qualcosa che possiedi: Una carta di accesso fisica, uno smartphone o un altro dispositivo o un certificato digitale
• Qualcosa che conosci: Un codice PIN o una password
• Qualcosa che sei: Dati biometrici, come impronte digitali o scansioni della retina

La classica combinazione nome utente/password è tecnicamente una forma rudimentale di autenticazione a due fattori. Ma poiché sia il nome utente che la password rientrano nella categoria "qualcosa che si conosce", questa combinazione è più facile alla compromissione.

Token hardware

I token hardware sono piccoli dispositivi fisici che gli utenti presentano per accedere a una risorsa. I token hardware possono essere collegati (ad esempio, USB, smart card, portachiavi con password monouso) o contactless (ad esempio, token Bluetooth). L'utente porta con sé questi token. La primissima forma di 2FA moderna, introdotta nel 1993 da RSA, utilizzava un dispositivo portatile con un piccolo schermo che visualizzava numeri generati casualmente che venivano confrontati con un algoritmo per convalidare il titolare del dispositivo. I token hardware possono anche andare persi o venire rubati.

Token basati su SMS

Con l'aumento della circolazione dei telefoni cellulari, si è rapidamente diffusa la 2FA basata su SMS. L'utente inserisce il proprio nome utente e quindi tramite SMS (messaggio di testo) riceve un passcode monouso (OTP). Un'opzione simile utilizza una chiamata vocale per fornire l'OTP a un telefono cellulare. In entrambi i casi, la trasmissione dell'OTP è relativamente facile da hackerare, il che rende questa forma di 2FA tutt'altro che ideale.

Token basati su app

L'avvento degli smartphone e di altri dispositivi mobili smart ha reso molto comune la 2FA basata su app. Gli utenti installano un'app sul proprio dispositivo (può essere utilizzata anche da competer desktop). Quando accedono, l'app fornisce un "token software", come un OTP, che viene visualizzato sul dispositivo e si deve inserire nella schermata di accesso. Dato che il soft token viene generato dall'app sul dispositivo, si elimina il rischio che l'OTP o il soft token vengano intercettati durante la trasmissione.

Le notifiche push

Forse la più semplice e comoda dal punto di vista dell'utente, la 2FA tramite notifica push non chiede all'utente di inserire un soft token. Al contrario, un sito web o un'app inviano direttamente una notifica push al dispositivo mobile dell'utente. La notifica avvisa l'utente del tentativo di autenticazione e gli richiede di approvare o negare l'accesso con un solo clic o tocco. Questo metodo di 2FA è altamente sicuro ed estremamente conveniente, ma dipende dalla connettività internet.

Autenticazione senza password

I tipi di autenticatori disponibili si sono evoluti fino includere opzioni senza password come FIDO (Fast identity online, identità online rapida) dati biometrici e credenziali digitali basate su PKI per l'autenticazione.

2FA rispetto a MFA: Qual è la differenza?

L'autenticazione a due fattori (2FA) richiede agli utenti di presentare due tipi di autenticazione, mentre l'autenticazione multifattoriale (MFA) richiede agli utenti di presentare almeno due, se non più, tipi di autenticazione. Ciò significa che tutti i 2FA sono un MFA, ma non tutti gli MFA sono un 2FA. Mentre l'autenticazione a più fattori può richiedere una combinazione qualsiasi di autenticatori e token di autenticazione per accedere a risorse, applicazioni o siti web, l'autenticazione 2FA richiede solo due autenticatori predefiniti. A seconda delle esigenze della tua organizzazione, l'autenticazione 2FA può fornirti il miglioramento in campo di sicurezza stai cercando, consentendo al contempo un'esperienza senza difficoltà per gli utenti finali.

Abbiamo discusso in precedenza dei vari tipi di fattori che puoi utilizzare per abilitare l'autenticazione a due fattori All'interno di ogni tipo di autenticatore, in ogni caso, ci sono molte opzioni diverse tra cui scegliere e nuove tecnologie in continuo sviluppo. Come scegli i fattori da utilizzare per il tuo protocollo 2FA? Ecco alcune domande che ti aiuteranno a fare la scelta giusta:

• Vuoi che l'autenticazione per l'utente sia chiara?
• Desideri che l'utente porti con sé un dispositivo fisico o che si autentichi online?
• Desideri che il sito web si autentichi anche per l'utente?
• Quale livello di sensibilità hanno le informazioni che stai proteggendo e qual è il rischio associato?
• L'accesso fisico (collegamento) a uffici, laboratori o ad altre aree, fa parte dei requisiti dell'utente?

Entrust fornisce la guida esperta per aumentare la sicurezza con l'autenticazione multifattoriale ad alta sicurezza. Supportiamo la più ampia gamma di autenticatori di sicurezza 2FA, consentendoti di scegliere l'opzione migliore per soddisfare le tue esigenze di sicurezza e i tuoi casi d'uso. Ma soprattutto, Entrust è in grado di fornire una guida esperta e di consulenza per aiutarti a selezionare le opzioni giuste e semplificare il tuo passaggio all'autenticazione a due fattori ad alta sicurezza.

L'autenticazione a due fattori è la forma più diffusa di autenticazione multifattoriale, il che la rende perfetta per i casi d'uso in cui diverse persone devono accedere ai dati. Ad esempio, le applicazioni sanitarie utilizzano comunemente 2FA perché consente a medici e al personale sanitario di accedere ai dati sensibili dei pazienti su richiesta, spesso da dispositivi personali.

Allo stesso modo, le applicazioni bancarie e finanziarie a 2FA possono aiutare a proteggere le informazioni sugli account da attacchi di phishing e di ingegneria sociale, consentendo al contempo ai consumatori il mobile banking.

Applicazioni industriali per la 2FA:

• Sanità
• Settore bancario
• Vendita al dettaglio
• Istruzione superiore
• Social media
• Governo/Istituzioni federali

Quali sono le minacce/i rischi dell'autenticazione a due fattori?

Esistono diversi approcci che gli hacker utilizzano nel tentativo di contrastare MFA e 2FA. Questi includono:

• Ingegneria sociale: In un attacco di ingegneria sociale, gli hacker si fingono una fonte legittima e richiedono informazioni di identificazione personale.
• Attacchi tecnici: Gli attacchi tecnici includono malware e trojan.
• Furto fisico: Il possesso fisico di uno smartphone o di un altro dispositivo mobile da parte di un malintenzionato può rappresentare una minaccia per la 2FA.
• Sovvertire il recupero dell'account: Per sovvertire la 2FA, dato che il processo di reimpostazione della password spesso ignora la 2FA, gli hacker possono sfruttare il solo nome utente.

La 2FA offre un importante misura ulteriore rispetto all'autenticazione a fattore singolo, in particolare quella tradizionale basata su password e con tutti i difetti legati al fattore umano. È abbastanza sicura, ma l'autenticazione multifattoriale (MFA) è ora considerata la soluzione de facto per l'autenticazione degli utenti. Anche i requisiti di conformità, come il PCI DSS, hanno sostituito la 2FA con la MFA e gli enti governativi stanno imponendo la MFA alle istituzioni federali. Per migliorare la sicurezza, con l'MFA, è possibile aggiungere più fattori di forma (non password). Prima di concedere l'accesso, l'utilizzo della biometria per l'autenticazione dell'utente in combinazione con la verifica del dispositivo e l'aggiunta di controlli contestuali basati sul rischio consentono di valutare la posizione di rischio dell'utente e del dispositivo. L'autenticazione multifattoriale con opzioni senza password e l'autenticazione adattiva basata sul rischio rappresentano la via da seguire per una maggiore sicurezza.

Quali sono gli autenticatori/i token di autenticazione più comuni?