Che cos'è l'autenticazione multifattoriale (Multi-Factor Authentication o MFA)?
Come fai a sapere che qualcuno è chi dice di essere? In breve, questa è la domanda a cui l'autenticazione si propone di rispondere.
Ecco il problema: Confermare l’identità è più difficile che mai. Nomi utente e password non sono sufficienti, motivo per cui molte aziende si rivolgono all’autenticazione multifattoriale (MFA).
Non hai familiarità con l'MFA? Sei curioso di sapere come può proteggere la tua attività? Continua a leggere per scoprire tutto ciò che devi sapere sull'MFA e sul perché è una parte essenziale della tua strategia di sicurezza informatica.
Cos'è l'MFA?
Secondo il National Institute of Standards and Technology (NIST), l'MFA è un metodo di autenticazione che richiede più di un "fattore di autenticazione" distinto per utilizzare un sito web, un'applicazione o un sistema.
Un fattore di autenticazione è una credenziale di sicurezza che verifica l'identità di un utente quando tenta di accedere a una particolare risorsa. Ad esempio, quando qualcuno accede a un account di posta elettronica, in genere invia un nome utente e una password. Queste credenziali sono una forma di identificazione, indicando che la richiesta di accesso proviene da un individuo legittimo, non da un impostore.
L’MFA mira a rendere questo processo più sicuro richiedendo almeno un fattore aggiuntivo, da cui il nome “autenticazione multifattoriale”. Perché? Perché, quando gli hacker compromettono le credenziali di accesso, possono ottenere l'accesso non autorizzato a risorse chiave e informazioni sensibili.
Supponiamo che i criminali informatici violino un account appartenente a un utente privilegiato (ad esempio, qualcuno con il permesso di accedere a sistemi IT critici ed eseguire attività che gli utenti standard non sono autorizzati a svolgere). Possono esportare grandi quantità di dati riservati, come numeri di previdenza sociale, informazioni finanziarie e altro ancora. Una violazione dei dati potrebbe portare al furto dell'identità dei dipendenti e/o dei clienti e avere ripercussioni significative sull'azienda, con un costo medio di 4,45 milioni di dollari.
In breve, è qui che entrano in gioco le soluzioni di MFA. Con il sistema giusto, le organizzazioni possono proteggere le identità della forza lavoro, dei consumatori e dei cittadini attraverso livelli di autenticazione forte.
Qual è la differenza tra MFA e autenticazione a due fattori (2FA)?
MFA e 2FA sono concetti estremamente simili, ma non esattamente uguali.
In poche parole, 2FA è un metodo di autenticazione che richiede esattamente due identificatori: né più né meno. Pertanto, è un sottoinsieme della MFA, che richiede almeno due fattori.
In teoria, l'MFA è in genere più sicura della 2FA perché può comprendere tutti gli autenticatori desiderati per qualsiasi caso d'uso specifico. Ogni fattore aggiuntivo rende più difficile l’accesso non autorizzato, comprimendo un ulteriore livello di protezione tra gli hacker e le informazioni sensibili.
Detto questo, la 2FA non è insicura per impostazione predefinita. È comunque decisamente meglio che fare affidamento sull’autenticazione a fattore singolo, poiché le tradizionali protezioni tramite password sono troppo vulnerabili alle moderne minacce informatiche.
Esempi di MFA
In che modo le organizzazioni utilizzano le soluzioni MFA? Ecco due dei casi d'uso più comuni:
- Accesso remoto per i dipendenti: Solo negli Stati Uniti, un terzo dei dipendenti con capacità remota lavora regolarmente da casa. Con l’aumento del lavoro ibrido in tutto il mondo, le aziende devono fornire agli utenti un accesso remoto sicuro alle risorse critiche. Le soluzioni MFA consentono loro di identificare e proteggere le identità della forza lavoro, garantendo al tempo stesso la comodità del lavoro da qualsiasi luogo.
- Accesso al sistema in loco: Allo stesso modo, i sistemi locali, come negli ospedali, sono archivi vitali di informazioni protette. Con la giusta soluzione MFA, i dipendenti possono utilizzare i badge di prossimità insieme alle credenziali per accedere ai database dei pazienti in modo rapido e sicuro.
Come funziona la MFA?
Il processo dipende dall'esatto metodo MFA in uso. Tuttavia, indipendentemente dalle specifiche, il flusso di lavoro generalmente funziona in questo modo:
- Accesso utente: l'utente inserisce i propri nome utente e password.
- Richiesta di autenticazione: Se l'accesso principale ha esito positivo, il sistema richiede un fattore aggiuntivo.
- Verifica MFA: L'utente fornisce il secondo fattore, ad esempio un token o un passcode monouso generati da un'app di autenticazione.
- Terzo fattore facoltativo: Una soluzione MFA può richiamare più richieste di autenticazione se configurata per farlo.
- Autenticazione riuscita Se tutti i fattori sono verificati, l'utente ottiene l'accesso al sistema.
Il completamento di questo processo richiede in genere solo pochi istanti e ha un impatto minimo sull'esperienza dell'utente. In definitiva, dipende dal numero di fattori MFA necessari, che rientrano in tre categorie: conoscenza, possesso e inerenza.
1. Fattore di conoscenza
Il fattore conoscenza si riferisce a qualcosa che solo l'utente conosce, come una password o un PIN. I sistemi MFA hanno aggiunto nel tempo più fattori di conoscenza, l’esempio più comune è la risposta a una domanda segreta (ad esempio, il nome da nubile di tua madre, la mascotte del liceo, ecc.).
Tuttavia, questo è il più debole di tutti i fattori MFA perché può essere facilmente indovinato. Ad esempio, agli hacker non occorre molto sforzo per ottenere risposte a domande segrete dai profili dei social media, poiché spesso si basano su informazioni personali. Allo stesso modo, sono anche suscettibili agli attacchi di phishing.
2. Fattore di possesso
Il fattore di possesso include qualcosa che solo l'utente avrebbe. Oggi esistono diversi tipi avanzati di verifica basata sul possesso, come:
- OTP: Passcode monouso consegnati tramite e-mail o SMS.
- Notifica push: Avvisi inviati al dispositivo mobile dell'utente che richiedono la conferma della sua richiesta di accesso: l'idea è che solo il proprietario avrebbe il dispositivo.
- Token hardware: Chiavi FIDO2 e altri dispositivi fisici che gli utenti collegano a un desktop. Contengono informazioni crittografate, che autenticano l'identità dell'utente.
- Grid card: Le schede cartacee stampate da file PDF contengono una griglia di righe e colonne composta da numeri e caratteri. Gli utenti devono fornire le informazioni corrette nelle celle corrispondenti della carta unica in loro possesso.
3. Fattore di inerenza
Il fattore di inerenza include informazioni inerenti all'utente specifico. Rispetto agli altri due fattori, qualcosa che conosci e qualcosa che hai, è più semplice considerare inerente qualcosa che sei. Pertanto, viene anche definita autenticazione biometrica, sfruttando metodi MFA come:
- Impronta digitale
- Scansione della retina
- Riconoscimento vocale
- Riconoscimento facciale
Poiché l’autenticazione biometrica è intrinsecamente difficile da aggirare, i fattori basati sull’inerenza sono tra le opzioni più sicure disponibili.
Ulteriori fattori MFA
A parte i tre identificatori primari, le soluzioni all’avanguardia possono utilizzare tre fattori MFA emergenti:
- Ora: Questo valuta il tentativo di accesso rispetto ai tempi di utilizzo previsti. Se una richiesta avviene fuori orario, la soluzione potrebbe richiedere un fattore aggiuntivo.
- Luogo: Le soluzioni MFA possono convalidare le richieste in base alla posizione geografica o all'indirizzo IP, garantendo che provengano da una posizione autorizzata.
- Comportamento: Questo fattore analizza i modelli degli utenti, come le dinamiche di battitura dei tasti, per confermare l'identità sulla base di azioni storiche o abituali.
Insieme, questi fattori rafforzano la classica MFA con meccanismi di sicurezza più sofisticati. Fondamentalmente, consentono anche l’MFA adattivo, ma ne parleremo più avanti.
Vuoi saperne di più? Scarica il nostro ultimo eBook e scopri la potenza di Entrust Identity.
Perché l'MFA è importante?
Gli hacker prendono di mira le identità a un ritmo incessante. Nel 2023, oltre 8,2 miliardi di documenti sono stati rubati in attacchi basati su credenziali, di cui 3,4 miliardi in una singola violazione dei dati. Naturalmente, gli impatti possono essere devastanti: frode, furto di identità, violazioni della conformità, perdite monetarie, danni alla reputazione: l'elenco potrebbe continuare.
Sfortunatamente, molte aziende sono impreparate ad affrontare le minacce basate sull’identità. Secondo uno studio del 2023, il 61% delle organizzazioni afferma che la protezione dell'identità digitale è una delle tre priorità principali. Tuttavia, solo il 49% di essi ha beneficiato di un’attuazione completa dell’MFA. Se avessero avuto una soluzione MFA efficace, avrebbero ridotto la probabilità di attacchi hacker del 99%.
MFA e Zero Trust
In effetti, l’MFA rappresenta una risposta adeguata alle minacce informatiche passate e presenti, ma, aspetto fondamentale, è anche vitale per un futuro resiliente dal punto di vista informatico. In altre parole, è un componente indispensabile della sicurezza Zero Trust.
Zero Trust è un moderno framework di sicurezza che enfatizza l'autenticazione forte, non solo una volta, ma continuamente durante una sessione. Con un solido sistema MFA, come parte di una piattaforma di gestione delle identità e degli accessi (IAM), le aziende possono implementare uno dei tre pilastri del framework in un colpo solo. Il risultato? Esposizione molto inferiore ad accessi non autorizzati e attacchi basati sull'identità.
Vantaggi e sfide dell’MFA
Perché preoccuparsi dell'MFA? Per cominciare, offre numerosi vantaggi:
- Sicurezza dei dati migliorata: L'MFA protegge dallo stress dovuto alle password, dagli attacchi di phishing e da altre minacce basate sulle credenziali, riducendo il rischio di furto degli account.
- Conformità migliorata: Aiuta inoltre le organizzazioni a soddisfare vari requisiti normativi e standard di settore. Utilizzando l'MFA, le organizzazioni possono dimostrare il proprio impegno nella salvaguardia dei dati.
- Maggiore fiducia: Quando i clienti sanno che un'organizzazione utilizza solide misure di sicurezza come l'MFA, la loro fiducia nella sicurezza dei propri dati personali e finanziari aumenta.
- Costi ridotti: L'MFA aiuta le organizzazioni a evitare le spese sostanziali associate alla risposta agli incidenti, alle spese legali, alle sanzioni normative e ai danni alla reputazione. Inoltre, l’MFA può ridurre la necessità di reimpostare la password e altri costi relativi al supporto, poiché gli utenti hanno meno probabilità di subire compromissioni dell’account.
Tuttavia, vale la pena notare che l’MFA presenta le sue sfide. Queste includono:
- Non convenienza: Ulteriori fattori possono portare a un’esperienza utente insoddisfacente, frustrante per dipendenti e clienti.
- Potenziali vulnerabilità: L’MFA è un ottimo meccanismo di sicurezza, ma non è impermeabile agli attacchi. Alcuni vettori di minaccia, come il prompt bombing o lo scambio di SIM, stanno rendendo più chiaro che le organizzazioni hanno bisogno del supporto di una piattaforma IAM completa oltre all'MFA.
Che cos'è l'autenticazione adattiva?
L'autenticazione adattiva, nota anche come MFA adattiva o autenticazione basata sul rischio, è un tipo di verifica a fasi. Analizza le informazioni contestuali per determinare il livello di rischio di qualunque profilo utente richieda l'accesso a una risorsa, aumentando o diminuendo di conseguenza i requisiti di sicurezza.
Più semplicemente, l’MFA adattiva richiede fattori aggiuntivi quando c’è una maggiore possibilità che la richiesta sia illegittima. Maggiore è il rischio, più forti saranno le sfide.
Ad esempio, l'autenticazione adattiva valuta quanto segue:
- Numero di tentativi di accesso non riusciti
- Indirizzo IP di origine o posizione geografica
- Reputazione del dispositivo
- Giorno e ora del tentativo
- Sistema operativo
- Ruolo utente
Se la richiesta di accesso è sospetta, potrebbe richiedere agli utenti di confermare la propria identità utilizzando una OTP o una notifica push. Allo stesso modo, se tutto è normale, potrebbe non presentare alcun problema, offrendo così un'esperienza utente fluida.
Best practice di implementazione dell'MFA
Preoccupato per l'implementazione della tua soluzione MFA? Cerca un sistema IAM robusto che includa non solo l'autenticazione adattiva, ma anche modi per aumentarne le capacità. Ecco alcune misure di sicurezza aggiuntive da tenere a mente:
- Il Single Sign-On (SSO) consente agli utenti di accedere a più applicazioni con un solo set di credenziali di accesso. Nell'ambito di un portafoglio IAM, SSO mitiga il rischio di un'esperienza utente insoddisfacente, sfruttando al tempo stesso la sicurezza dell'MFA adattiva.
- L'autenticazione senza password riduce il rischio di una password debole. Invece delle password, utilizza l’autenticazione biometrica e metodi basati su credenziali come i certificati digitali per convalidare le identità.
- L'autenticazione push mobile è un tipo di metodo di autenticazione senza password che invia una notifica push al dispositivo mobile dell'utente. Ciò consente loro di scorrere o toccare un pulsante per approvare transazioni, accedere alle app o accedere alle applicazioni aziendali.
Ottieni un'MFA ad alta garanzia con Entrust Identity
Entrust Identity è il nostro portafoglio di funzionalità di gestione di accessi e identità. Con un'unica piattaforma IAM, puoi sfruttare un'intera suite di strumenti MFA e autenticatori per proteggere la tua forza lavoro, i consumatori o i cittadini dall'odierno panorama delle minacce in continua evoluzione.
Dall'MFA adattivo all'autenticazione senza password e altro ancora, disponiamo di tutte le misure di sicurezza necessarie per avere successo.