Che cos'è la tecnologia di autenticazione multifattoriale (Multi-Factor Authentication o MFA)?

L'autenticazione multifattoriale (MFA) è un metodo di sicurezza che richiede all'utente di verificare la propria identità utilizzando due o più tipi distinti di metodi di autenticazione per dimostrare la propria identità e accedere a un account, un servizio o un'applicazione. Di solito combina il fattore conoscenza (qualcosa che conosci, come una password) con il fattore possesso (qualcosa che possiedi, come un dispositivo) e/o un fattore intrinseco (qualcosa che sei, come un'impronta digitale o il tuo volto).

Confermare l'identità è più importante che mai: Secondo l'Entrust 2025 Identity Fraud Report, gli attacchi all'identità stanno aumentando, alimentati dalle innovazioni nell'intelligenza artificiale. I nomi utente e le password da soli non proteggono più gli account, motivo per cui molte aziende ricorrono all'autenticazione multifattoriale (MFA).

Non hai familiarità con l'MFA? Ti incuriosisce sapere come può proteggere la tua attività o la tua organizzazione? Continua a leggere per scoprire tutto ciò che c'è da sapere sull'autenticazione multifattoriale (MFA) e perché è una parte essenziale di una strategia robusta di gestione delle identità e degli accessi.

• L'autenticazione multifattoriale (MFA) aumenta la sicurezza richiedendo almeno un fattore di autenticazione aggiuntivo oltre al nome utente e alla password.
• Le organizzazioni possono richiedere l'autenticazione multifattoriale (MFA) per consentire ai propri dipendenti di ottenere un accesso sicuro, remoto o in loco, ai sistemi e ai dati.
• I fattori dell'autenticazione multifattoriale (MFA) sono spesso correlati alla conoscenza (qualcosa che conosci), al possesso (qualcosa che possiedi) o all'intrinseco (qualcosa che sei).
• L'integrazione dell'autenticazione multifattoriale (MFA) nei processi di verifica dell'identità è fondamentale, poiché gli attacchi basati sull'identità stanno diventando sempre più comuni e sofisticati.
• L'autenticazione multifattoriale (MFA) può svolgere un ruolo essenziale nel rispetto delle importanti normative del settore.
• I progressi tecnologici quali l'intelligenza artificiale, le innovazioni biometriche e la blockchain stanno rendendo l'autenticazione multifattoriale (MFA )più forte e più sicura, anche se le minacce continuano ad evolversi.
• Entrust aiuta gli istituti finanziari a garantire la sicurezza del percorso dei consumatori grazie a una visione unificata dell'identità, a partire dall'onboarding biometrico e dal KYC/AML, consentendo un accesso sicuro e l'autenticazione delle transazioni ad alto rischio e garantendo la conformità continua attraverso un sistema di valutazione del rischio adattivo e l'applicazione delle politiche CIAM.

Cos'è l'MFA?Secondo il National Institute of Standards and Technology (NIST), si tratta di un metodo di autenticazione che richiede più di un "fattore di autenticazione" distinto per utilizzare un sito web, un'applicazione o un sistema.

Un fattore di autenticazione è una credenziale di sicurezza che verifica l'identità di un utente quando tenta di accedere a una particolare risorsa. Ad esempio, quando qualcuno accede a un account di posta elettronica, in genere invia un nome utente e una password. Queste credenziali sono una forma di identificazione, che mostrano che la richiesta di accesso proviene da un individuo legittimo, non da un impostore.

L'autenticazione multifattoriale (MFA) mira a rendere questo processo più sicuro richiedendo almeno un metodo di autenticazione aggiuntivo. Perché? Perché, quando i malintenzionati compromettono le credenziali di accesso, possono ottenere l'accesso non autorizzato a risorse chiave e informazioni sensibili.

Supponiamo che i criminali informatici violino un account appartenente a un utente privilegiato della tua organizzazione (ad esempio, qualcuno con il permesso di accedere a sistemi IT critici ed eseguire attività che gli utenti standard non sono autorizzati a svolgere). Possono sottrarre grandi quantità di informazioni personali identificabili, come numeri di previdenza sociale, informazioni finanziarie e altro ancora. Una violazione dei dati potrebbe portare al furto dei dati dei dipendenti e/o dei clienti e avere ripercussioni significative sull'azienda, con un costo medio di 4,4 milioni di dollari.

È qui che entrano in gioco le soluzioni di MFA. Con il sistema giusto, le organizzazioni possono proteggere le identità della forza lavoro, dei consumatori e dei cittadini attraverso livelli di autenticazione forte.

Qual è la differenza tra MFA e autenticazione a due fattori (2FA)?

Poiché l'autenticazione multifattoriale richiede esattamente due identificatori, si tratta di un sottoinsieme dell'autenticazione a più fattori, che richiede almeno due fattori.

In teoria, l'MFA è in genere più sicura della 2FA perché può comprendere tutti gli autenticatori desiderati per qualsiasi caso d'uso specifico. Ogni fattore aggiuntivo rende più difficile l’accesso non autorizzato, comprimendo un ulteriore livello di protezione tra gli hacker e le informazioni sensibili.

Detto questo, l'autenticazione multifattoriale è comunque molto più sicura rispetto all'autenticazione a fattore singolo, poiché le tradizionali protezioni basate su password sono troppo vulnerabili alle moderne minacce informatiche.

Esempi di MFA

In che modo le organizzazioni utilizzano l'autenticazione multifattoriale? Alcuni fra i casi d'uso più comuni includono:

• Accesso remoto per i dipendenti: Solo negli Stati Uniti, quasi il 23% delle persone lavora da casa. Con l’aumento del lavoro ibrido in tutto il mondo, le aziende devono fornire agli utenti un accesso remoto sicuro alle risorse critiche. Le soluzioni MFA consentono loro di identificare e proteggere le identità dei dipendenti, garantendo al contempo la comodità delle politiche di lavoro da qualsiasi luogo. I dipendenti pubblici che lavorano da casa potrebbero aver bisogno di accedere ad applicazioni interne, ad esempio la posta elettronica, i sistemi di gestione delle risorse umane/pagamenti o applicazioni con dati privati. L'MFA garantisce che solo le persone autorizzate possano accedervi al di fuori della rete protetta.
• Accesso al sistema in loco: Allo stesso modo, i sistemi locali, come il sistema sanitario, sono archivi vitali di informazioni protette. Con la giusta soluzione MFA, i dipendenti possono utilizzare i badge di prossimità insieme alle credenziali per accedere ai database dei pazienti in modo rapido e sicuro.
• Accesso remoto dei cittadini: ad esempio, quando le persone utilizzano servizi della pubblica amministrazione online, l'MFA aiuta a garantire che solo il legittimo titolare dell'account possa accedere o modificare i dati personali.
• Accesso clienti: quando i clienti utilizzano istituti finanziari, ad esempio per accedere ai propri conti bancari ed effettuare transazioni, l'MFA si assicura che solo il titolare del conto possa accedere ai fondi/alle informazioni rilevanti.

Il processo dipende dall'esatto metodo e dalla tecnologia MFA in uso. Tuttavia, indipendentemente dalle specifiche, il flusso di lavoro generalmente funziona nel seguente modo:

• Accesso utente: L'utente verifica la propria identità utilizzando la prima forma di autenticazione, che è qualcosa che conosciamo (spesso nome utente e password). Ciò potrebbe far parte della soluzione Single sign-On di un'azienda, consentendo l'accesso a più piattaforme e applicazioni.
• Richiesta di autenticazione: Se l'accesso principale ha esito positivo, il sistema richiede un fattore aggiuntivo.
• Verifica MFA: L'utente fornisce il secondo fattore di autenticazione, come un codice di accesso monouso (OTP) generato da un'app di autenticazione, una notifica push, l'autenticazione biometrica o un token hardware.
  • Terzo fattore facoltativo: Una soluzione MFA può richiamare più richieste di autenticazione se configurata per farlo.
• Autenticazione riuscita Se tutti i fattori sono verificati, l'utente ottiene l'accesso al sistema.

Il completamento di questo processo richiede in genere solo pochi istanti e ha un impatto minimo sull'esperienza utente. In definitiva, dipende dal numero di metodi/fattori di autenticazione richiesti, che si dividono in tre categorie: conoscenza, possesso e inerenza.

Fattore di conoscenza

Il fattore conoscenza si riferisce a qualcosa che solo l'utente conosce, come una password o un PIN. I sistemi di autenticazione multifattoriale hanno aggiunto nel tempo più fattori di conoscenza, l’esempio più comune è la risposta a una domanda segreta (ad esempio, il nome da nubile di tua madre, la mascotte del liceo, ecc.).

Tuttavia, questo è il più debole di tutti i fattori MFA perché può essere facilmente indovinato, essere oggetto di tentativi phishing o di social engineering. Ad esempio, agli hacker non occorre molto sforzo per ottenere risposte a domande segrete dai profili dei social media, poiché spesso si basano su informazioni personali. Allo stesso modo, sono anche suscettibili agli attacchi di phishing.

Fattore di possesso

Il fattore di possesso include qualcosa che solo l'utente avrebbe. Oggi esistono diversi tipi avanzati di verifica basata sul possessonella tecnologia di autenticazione multifattoriale (MFA,) come ad esempio:

• OTP: Passcode monouso consegnati tramite e-mail o SMS.
• Notifica push: Avvisi inviati al dispositivo mobile dell'utente che richiedono la conferma della sua richiesta di accesso: l'idea è che solo il proprietario avrebbe il dispositivo. 
• Token hardware: Chiavi FIDO2 e altri dispositivi fisici che gli utenti collegano a un desktop. Contengono informazioni crittografate, che autenticano l'identità dell'utente.
• Chiavi di sicurezza virtuali: Funzionano come i token hardware, ma non richiedono una chiave fisica, poiché utilizzano invece credenziali crittografiche in un dispositivo.
• Dispositivi smart: dispositivi come telefoni cellulari, dispositivi indossabili e tablet, che, se tenuti a portata di mano, sono comodi per ricevere in modo sicuro i codici di autenticazione.
• Grid card: Alcune organizzazioni continuano a utilizzare questo metodo, sebbene oggi sia meno diffuso. Le schede cartacee stampate da file PDF contengono una griglia di righe e colonne composta da numeri e caratteri. Gli utenti devono fornire le informazioni corrette nelle celle corrispondenti della carta unica in loro possesso.

Fattore di inerenza

un fattore di inerenza include informazioni inerenti all'utente specifico. Rispetto ai fattori di possesso e conoscenza, è più facile considerare l'inerenza come qualcosa che sei. Pertanto, viene anche definita autenticazione biometrica, sfruttando metodi MFA come:

• Impronta digitale
• Scansione della retina
• Riconoscimento vocale
• Riconoscimento facciale
• Biometria multimodale (combinazione di due o più tipi)

Poiché l’autenticazione biometrica è intrinsecamente difficile da aggirare, i fattori basati sull'inerenza sono tra le opzioni più sicure disponibili per l'autenticazione multifattoriale.

L'autenticazione adattiva, nota anche come MFA adattiva o autenticazione basata sul rischio, è un tipo di verifica in continua evoluzione integrata nel processo per garantire una maggiore sicurezza. Analizza le informazioni contestuali per determinare il livello di rischio di qualunque profilo utente richieda l'accesso a una risorsa, aumentando o diminuendo di conseguenza i requisiti di sicurezza.

Più semplicemente, l’MFA adattiva richiede fattori aggiuntivi quando c’è una maggiore possibilità che la richiesta sia illegittima. Maggiore è il rischio, più forti saranno le sfide.

Ad esempio, l'autenticazione adattiva valuta quanto segue:

• Numero di tentativi di accesso non riusciti
• Indirizzo IP di origine o posizione geografica
• Reputazione del dispositivo
• Giorno e ora del tentativo
• Sistema operativo
• Ruolo utente

Il software può confrontare questi e altri fattori in tempo reale con il comportamento passato dell'utente per identificare anomalie che potrebbero indicare credenziali compromesse. Se la richiesta di accesso è sospetta, richiede agli utenti di confermare la propria identità utilizzando una OTP o una notifica push. Allo stesso modo, se tutto è normale, potrebbe non presentare alcun problema così un'esperienza utente fluida.

Gli hacker prendono di mira le identità a un ritmo incessante. Nel 2024, sono state compromesse più di 3,2 miliardi di credenziali, con un aumento del 33% su base annua. Gli impatti possono essere devastanti: frode, furto di identità, violazioni della conformità, perdite monetarie, danni alla reputazione.

Nonostante l'aumento del rischio, molte aziende sono impreparate ad affrontare le minacce basate sull'identità. Secondo una ricerca del 2024, l'84% delle aziende ha affermato che gli incidenti legati alla sicurezza dell'identità hanno avuto un impatto diretto sulle operazioni, rispetto al 68% dell'anno precedente. Oltre il 40% di loro ha affermato che l'implementazione dell'autenticazione multifattoriale (MF) avrebbe potuto attenuare i danni. Eppure solo poco più della metà lo aveva fatto.

L'autenticazione multifattoriale può ridurre gli attacchi con livelli di difesa che rendono molto più difficile l'accesso non autorizzato. Anche quando le password vengono compromesse da phishing o violazioni, l'autenticazione multifattoriale (MFA) funge da forte barriera contro tutti gli attori malintenzionati, tranne quelli più sofisticati.

Inoltre, molti framework di conformità ora richiedono l'MFA, rendendolo essenziale per soddisfare i requisiti normativi in settori come sanità, finanza e appalti pubblici. Ad esempio, la politica di sicurezza del Servizio informativo delle giustizia penale ha imposto l'implementazione dell'autenticazione multifattoriale entro il 1° ottobre 2024.

Forse l'elemento più importante è che la tecnologia di autenticazione multifattoriale, in quanto elemento di sicurezza dei dati, aiuta le aziende a garantire la fiducia dei clienti e la reputazione del marchio, risorse che possono essere seriamente danneggiate da un singolo incidente di sicurezza.

MFA e Zero Trust

L'autenticazione multifattoriale è una risposta adeguata alle minacce informatiche passate e presenti, ma soprattutto è anche il fondamento di un futuro cyber-resiliente, insieme alla sicurezza zero trust.

Zero Trust è un moderno quadro della sicurezza basato sul concetto di "non fidarti mai, verificare sempre". Considera ogni utente, dispositivo e applicazione come una potenziale fonte di compromissione del sistema. L'autenticazione multifattoriale consente di mettere in pratica questo concetto non solo una volta, ma in modo continuativo.

Richiedendo diverse forme di verifica, l'autenticazione multifattoriale (MFA) garantisce che, anche se una credenziale viene compromessa, l'accesso non autorizzato rimanga bloccato. Grazie a un robusto sistema MFA basato sul modello zero trust e integrato in una piattaforma di gestione di accessi e identità (IAM), le aziende possono contare sulla propria capacità di prevenire accessi non autorizzati e attacchi basati sull'identità.

Perché preoccuparsi dell'autenticazione multifattoriale fattori? Per cominciare, offre numerosi vantaggi: 

• Sicurezza dei dati migliorata: L'MFA protegge dallo stress dovuto alle password, dagli attacchi di phishing e da altre minacce basate sulle credenziali, riducendo il rischio di furto degli account.
• Conformità migliorata: Aiuta inoltre le organizzazioni a soddisfare vari requisiti normativi e standard di settore. Utilizzando l'autenticazione multifattoriale, le organizzazioni possono dimostrare il proprio impegno nella protezione dei dati di fronte all'aumento delle minacce.
• Maggiore fiducia: Quando i clienti sanno che un'organizzazione utilizza solide misure di sicurezza come l'MFA, la loro fiducia nella sicurezza dei propri dati personali e finanziari aumenta.
• Costi ridotti: L'MFA aiuta le organizzazioni a evitare le spese sostanziali associate alla risposta agli incidenti, alle spese legali, alle sanzioni normative e ai danni alla reputazione.

Tuttavia, vale la pena notare che l'MFA presenta le sue sfide. Queste includono:

• Non convenienza: Altri fattori possono portare a un'esperienza dell'utente insoddisfacente, che frustra dipendenti e clienti.
• Potenziali vulnerabilità: L’MFA è un ottimo meccanismo di sicurezza, ma non è impermeabile agli attacchi. Alcuni vettori di minaccia, come il prompt bombing o lo scambio di SIM, stanno rendendo sempre più evidente la necessità per le organizzazioni di adattarsi ai nuovi metodi MFA con una piattaforma per Gestione di accessi e identità completa. I metodi di autenticazione tradizionali possono anche portare a un'esperienza utente scadente, cosa che l'autenticazione biometrica aiuta a risolvere.

Come per qualsiasi quadro di sicurezza, l'implementazione e la manutenzione efficaci dell'autenticazione multifattoriale richiedono best practice che ne garantiscano il corretto funzionamento. Le piattaforme di gestione delle identità e degli accessi mantengono i processi e i flussi di lavoro allineati alle pratiche più aggiornate.

• Segui il principio del privilegio minimo. Questo concetto si riferisce alla possibilità per gli utenti di accedere solo ai sistemi e ai dati necessari per svolgere il loro lavoro. Nel caso in cui un set di credenziali venga compromesso, l'accesso dei malintenzionati sarà limitato.
• Crea una politica per le password sicure. Le password devono avere una lunghezza minima e includere caratteri e numeri diversi per garantire una complessità sufficiente. Gli utenti sono inoltre tenuti ad aggiornare regolarmente le proprie password.
• Scegli i fattori adatti alle esigenze aziendali. Le organizzazioni che operano nei settori con i più elevati requisiti di sicurezza, come quello governativo, dovrebbero prendere in considerazione l'implementazione dei fattori più avanzati, come la biometria multimodale e l'autenticazione adattiva. Le aziende che richiedono il lavoro in presenza possono selezionare fattori comportamentali o basati sulla posizione.
• Applicare l'autenticazione multifattorialea tutti gli account. Ciò include gli utenti temporanei, come stagisti e collaboratori esterni, nonché i dipendenti a lungo termine e senior.
• Collauda e aggiorna regolarmente il tuo MFA. Una supervisione e una manutenzione regolari garantiscono il corretto funzionamento dei processi MFA. È inoltre importante aggiornare regolarmente l'autenticazione multifattoriale per proteggere i sistemi e i dati dalle tecnologie in evoluzione e dalle minacce alla sicurezza.

I progressi e le nuove tendenze nella tecnologia dell'autenticazione multifattoriale sono destinati a plasmarne la natura e l'impatto negli anni a venire. Queste includono:

• Intelligenza artificiale: Questa tecnologia può migliorare l'autenticazione adattiva, utilizzandola per analizzare i modelli di comportamento degli utenti, gli indizi contestuali e altri fattori. Oltre a una maggiore precisione, l'autenticazione adattiva basata sull'IA può adattarsi dinamicamente a diverse minacce e scenari di rischio.
• Innovazioni biometriche: L'autenticazione multifattoriale si sta ampliando fino a includere la scansione delle vene del palmo della mano e dell'iride, la dinamica della digitazione e persino il DNA. Tuttavia, le organizzazioni devono essere consapevoli delle preoccupazioni relative alla privacy e all'etica.
• Autenticazione senza password: strumenti come chiavi di sicurezza hardware, password monouso e passkey associate al dispositivo stanno rendendo più pratiche le esperienze senza password.
• Identità decentralizzata e tecnologia blockchain: questa combinazione consente agli utenti di verificare la propria identità tramite chiavi crittografiche memorizzate nella blockchain anziché tramite un'autorità centralizzata. Ciò eliminerebbe un gran numero di metodi per ottenere l'accesso ai sistemi con credenziali, come gli attacchi di phishing.

Entrust offre una delle più ampie suite di soluzioni IAM pluripremiate per fornire autenticazione degli utenti, autorizzazione e controllo degli accessi alle risorse appropriate in qualsiasi momento e ovunque. All'interno di un'unica piattaforma unificata, le organizzazioni possono sfruttare potenti strumenti MFA e autenticatori, tra cui l'autenticazione biometrica per proteggere i dati sensibili, offrendo al contempo un'esperienza utente fluida e sicura.

Non lasciare che metodi di autenticazione obsoleti indeboliscano la tua organizzazione. Scopri di più su come la piattaforma IAM intelligente di Entrust è in grado di garantire una sicurezza di livello aziendale senza compromettere la praticità nel nostro eBook, Proteggi il tuoi principali vettori di attacco: l' identità.