Autenticazione a più fattori

Scopri in che modo l'autenticazione a più fattori rafforza la sicurezza, soddisfa i requisiti di conformità e supporta una strategia di sicurezza zero-trust

Illustrazione isometrica di una donna che mostra comunicazioni tramite dispositivi mobili, dati e contenuti multimediali
Cos'è l'autenticazione a più fattori?

L'autenticazione a più fattori (MFA, Multi-Factor Authentication) è un metodo di verifica dell'identità che richiede agli utenti di fornire almeno un fattore di autenticazione in aggiunta alla password oppure almeno due fattori di autenticazione invece di una password, per ottenere l'accesso a un sito web, un'applicazione o una rete.

Poiché la compromissione di più fattori di autenticazione richiede più impegno rispetto alla sola compromissione di una password e poiché altri tipi di fattori sono più difficoltosi da sottrarre o falsificare rispetto alle password, MFA protegge in modo più efficace un'organizzazione dagli accessi non autorizzati rispetto all'autenticazione a fattore singolo (nome utente e password).

L'MFA è diventata un componente essenziale delle strategie IAM (Identity and Access Management, gestione di identità e accessi) di molte organizzazioni. Spesso è un metodo di autenticazione obbligatorio o consigliato in molti settori d'industria e nelle agenzie governative. La maggior parte dei dipendenti o degli utenti di internet si è già imbattuta in un sottotipo di MFA, denominato autenticazione a due fattori (2FA, Two-Factor Authentication), che richiede agli utenti di fornire una password e un secondo fattore  - solitamente un codice di accesso inviato a un telefono o a un'email  -  per accedere a un sistema o a un sito web. Ma chiunque abbia effettuato l'accesso a un bancomat utilizzando una carta di debito e un codice PIN (Personal Identification Number) ha utilizzato una forma di MFA.


Tipi di fattori di autenticazione

L'MFA ostacola gli hacker su due livelli. In estrema sintesi, è più difficile violare due o più fattori rispetto a uno solo. Ma, in definitiva, la solidità di qualsiasi schema MFA dipende dai tipi di fattori di autenticazione che richiede agli utenti di fornire.

Fattori di conoscenza: qualcosa di cui l'utente è a conoscenza

I fattori di conoscenza sono frammenti di informazioni di cui, in linea teorica, solo l'utente è a conoscenza, ad esempio le password, i codici PIN e le risposte a domande di sicurezza. I fattori di conoscenza sono simultaneamente il tipo di fattore di autenticazione più diffuso e il più vulnerabile. Gli hacker possono ottenere le password e altri fattori di conoscenza tramite attacchi di phishing, installando programmi di registrazione delle sequenze di tasti premuti o spyware sui dispositivi degli utenti oppure eseguendo script o bot che generano e tentano password potenziali fino a quando non viene individuata quella funzionante.

Altri fattori di conoscenza non rappresentano una sfida particolarmente più ardua. Le risposte ad alcune domande di sicurezza possono essere scoperte da un hacker che conosce l'utente o che effettua ricerche tramite i social media. Altre possono essere relativamente facili da intuire. Non c'è da sorprendersi nell'apprendere che le credenziali compromesse hanno rappresentato il vettore di attacco iniziale più sfruttato nel 2021, secondo lo studio Cost of a Data Breach 2021 di IBM.

Un malinteso comune è che richiedere due fattori di conoscenza, ad esempio una password e una risposta a una domanda di sicurezza, costituisca una forma di MFA. La richiesta di un secondo fattore di conoscenza rappresenta un incremento della sicurezza, ma una reale MFA richiede l'utilizzo di due o più tipi di fattori.

Fattori di possesso: qualcosa che l'utente ha a disposizione

I fattori di possesso sono oggetti fisici che gli utenti hanno con sé, ad esempio una chiave elettronica o una scheda di identificazione che consentono di sbloccare una serratura fisica, un dispositivo mobile con un'app di autenticazione installata o una smart card che contiene informazioni di autenticazione.

Molte implementazioni dell'MFA utilizzano un metodo denominato "phone-as-a-token," in cui il telefono cellulare dell'utente riceve o genera le informazioni di cui necessita per diventare un fattore di possesso. Come indicato in precedenza, l'MFA di norma invia una password monouso (OTP, One-Time Password) al telefono di una persona tramite messaggi di testo, email o telefonate. Ma le OTP possono anche essere generate da speciali app per dispositivi mobili denominate app di autenticazione. E alcuni sistemi di autenticazione inviano notifiche push che gli utenti possono semplicemente selezionare con un tocco per confermare la loro identità.

Altre sistemi per soluzioni di MFA utilizzano token fisici o chiavi di sicurezza hardware dedicate. Alcuni token fisici si collegano alla porta USB di un computer e trasmettono le informazioni di autenticazione alla pagina di accesso. Altri generano OTP che devono essere immesse dall'utente.

I fattori di possesso offrono vari vantaggi rispetto ai fattori di conoscenza. Per poter impersonare un utente, i malintenzionati devono disporre del possesso del fattore al momento dell'accesso. Poiché operano su una rete differente (SMS) rispetto all'applicazione (IP), un hacker dovrebbe poter intercettare due canali di comunicazione differenti per poter sottrarre le credenziali. Anche se un hacker potesse ottenere una OTP, dovrebbe poter ottenerla e utilizzarla prima della scadenza, e non potrebbe più usarla nuovamente.   

Ma vi sono dei rischi. Poiché si tratta di oggetti (e, solitamente, di oggetti piccoli), i token fisici possono essere rubati, perduti o dimenticati.  Sebbene le OTP siano più complesse da sottrarre rispetto alle password tradizionali, sono comunque suscettibili ad attacchi di phishing o di tipo man-in-the-middle sofisticati, oppure alla clonazione delle schede SIM, in cui i malintenzionati creano un duplicato funzionante della SIM dello smartphone della vittima.

Fattori intrinseci: qualcosa che rende unico l'utente come individuo

I fattori intrinseci, definiti anche biometrici, sono caratteristiche o tratti fisici che rendono unico l'utente.  Le impronte digitali, la voce, le caratteristiche facciali o dell'iride o della retina di una persona sono esempi di fattori intrinseci. Oggi molti dispositivi mobili possono essere sbloccati mediante le impronte digitali o il riconoscimento facciale, alcuni computer possono utilizzare le impronte digitali per immettere le password nei siti web o nelle applicazioni.

I fattori intrinseci sono i più complessi da violare. Non possono essere dimenticati, persi o smarriti e sono straordinariamente difficili da replicare.

Ma ciò non significa che siano impenetrabili. Se i fattori intrinseci sono memorizzati in un database, possono essere sottratti. Ad esempio, nel 2019 un database biometrico contenente 1 milione di impronte digitali degli utenti è stato violato. In teoria, gli hacker sono stati in grado di rubare queste impronte digitali o di collegare le proprie al profilo di un altro utente nel database.

Quando i dati biometrici vengono compromessi, non possono essere modificati in modo rapido o semplice; ciò può rendere difficile per le vittime arrestare gli attacchi in corso.

Fattori comportamentali: qualcosa che l'utente fa

I fattori comportamentali sono risorse digitali che verificano l'identità di un utente in base a modelli comportamentali. Un intervallo di indirizzi IP o i dati di posizione da cui un utente normalmente accede a un'applicazione sono esempi di fattori comportamentali.

Le soluzioni di autenticazione comportamentale utilizzano l'intelligenza artificiale per determinare una baseline per i normali modelli comportamentali degli utenti, quindi segnalano le attività anomale, ad esempio l'accesso da un nuovo dispositivo, numero di telefono, browser web o da una nuova posizione. Sono anche comunemente utilizzati negli schemi di autenticazione adattiva (indicata anche come autenticazione basata sul rischio), nei quali i requisiti di autenticazione vengono modificati quando cambiano i rischi, ad esempio quando un utente tenta di accedere da un dispositivo non attendibile, di accedere a un'applicazione per la prima volta o di accedere a dati particolarmente sensibili.

Sebbene i fattori comportamentali offrano un modo sofisticato di autenticare gli utenti, la loro implementazione richiede risorse e competenze significative. Inoltre, se un hacker ottiene l'accesso a un dispositivo attendibile, può utilizzarlo come fattore di autenticazione.


MFA senza password

Poiché i fattori di conoscenza compromessi sono il vettore iniziale più comune nelle violazioni della sicurezza informatica, molte organizzazioni stanno sperimentando l'autenticazione senza password. L'autenticazione senza password fa affidamento sul possesso e su fattori comportamentali intrinseci per verificare le identità. L'autenticazione senza password riduce il rischio di attacchi di phishing e di credential stuffing, in cui gli hacker utilizzano le credenziali rubate da un sistema per ottenere l'accesso a un altro.

Sebbene l'autenticazione senza password rimuova quello che è considerato l'anello debole della catena di verifica delle identità, è comunque suscettibile alle vulnerabilità dei fattori relativi al possesso, intrinseci e comportamentali. Le organizzazioni possono mitigare queste vulnerabilità implementando un approccio in cui gli utenti devono fornire più tipi di credenziali di autenticazione non legati al fattore della conoscenza. Ad esempio, richiedere a un utente un'impronta digitale e un token fisico costituirebbe una MFA senza password.


MFA e conformità normativa

In risposta alla crescente ondata di attacchi informatici, i governi e le agenzie governative hanno iniziato a richiedere l'MFA per i sistemi che gestiscono dati sensibili. Nel 2020. l'IRS (Internal Revenue Service) ha reso obbligatoria l'MFA per i provider di sistemi di preparazione delle imposte online. L'ordine esecutivo del presidente Joseph Biden del 2021 relativo all'incremento della sicurezza informatica nazionale ha reso l'MFA un requisito per tutte le agenzie federali. Un successivo memorandum richiede che tutti i sistemi di sicurezza nazionale, del Dipartimento della difesa e della community di intelligence di implementare l'MFA entro il 18 agosto 2022.

Una serie di normative del settore, tra cui PCI-DSS (Payment Card Industry Data Security Standard), richiedono specificamente l'MFA per i sistemi che gestiscono i dati relativi alle carte di credito e ai pagamenti. Molte altre normative, tra cui SOX (Sarbanes-Oxley) e HIPAA, indicano l'MFA come essenziale per garantire la conformità. Alcune normative statali hanno reso obbligatoria l'MFA da diversi anni. Alle aziende che non hanno garantito la conformità alle imposizioni in materia di MFA della normativa per la sicurezza informatica del 2017 del NYDFS (New York Department of Financial Services), 23 NYCRR 500, sono state comminate sanzioni fino a 3 milioni di dollari (link esterno a ibm.com).


MFA e SSO (Single Sign-On)

SSO (Single Sign-On) è un metodo di autenticazione che consente agli utenti di accedere a più applicazioni e servizi correlati tramite un'unica serie di credenziali di accesso. L'utente esegue una sola volta l'accesso e la soluzione SSO autentica la sua identità e genera un token di autenticazione per la sessione. Questo token funge da chiave di sicurezza dell'utente per vari database e applicazioni interconnessi.

Per ridurre il rischio di fare affidamento su un'unica serie di credenziali di accesso per più applicazioni, le organizzazioni di solito richiedono l'autenticazione adattiva per SSO. L'SSO adattivo applica la funzionalità dell'autenticazione adattiva agli schemi SSO. Se un utente esibisce un comportamento anomalo quando tenta di accedere tramite SSO o durante la sua sessione autenticata tramite SSO, riceverà la richiesta di fornire ulteriori fattori di autenticazione. Esempi di comportamenti anomali includono la connessione tramite una VPN non riconosciuta o l'accesso di applicazioni o dati non coperti dal token di autenticazione della sessione dell'utente.

Le architetture di sicurezza Zero trust, in cui l'identità di un utente non è mai ritenuta attendibile e sempre verificata, spesso utilizzano una combinazione di SSO adattivo e MFA a scopi di autenticazione. Verificando costantemente l'identità dell'utente per tutta la durata della sessione e richiedendo ulteriori fattori di autenticazione in base al rischio, l'SSO adattivo e l'MFA rafforzano la gestione degli accessi senza influenzare l'esperienza utente.


Soluzioni correlate

IAM (Identity and Access Management)

Connetti ogni utente al giusto livello di accesso con la soluzione IAM IBM Security® Verify.


SSO

Centralizza il controllo degli accessi per le applicazioni su cloud e on-premise.


Autenticazione avanzata

Vai oltre l'autenticazione di base con opzioni per l'autenticazione senza password o a più fattori.


Accesso adattivo

Proteggi gli utenti e gli asset con l'autenticazione basata sul rischio, assistita dall'AI, con IBM Security Verify.


Soluzioni IAM su cloud

Integra l'IAM su cloud con un contesto approfondito per l'autenticazione basata sul rischio per consentire un accesso sicuro e senza problemi.


IBM Security Verify Trust

Integra la fiducia nel rilevamento di rischi ai sistemi IAM per fornire un processo di autenticazione più intelligente con il software IBM Security Verify Trust.


Soluzioni Zero Trust

Scopri le soluzioni di sicurezza personalizzate per ogni utente, ogni dispositivo e ogni connessione.


Soluzioni MDM (Mobile Device Management)

Ottieni visibilità, gestione e sicurezza per gli endpoint e gli utenti