Che cos'è la MFA (autenticazione a più fattori)?

Molti utenti di internet hanno familiarità con la forma più comune di MFA, l'autenticazione a due fattori (2FA). L'autenticazione a due fattori richiede solo due elementi di prova, ma alcune implementazioni di MFA ne richiedono tre o più.

Ad esempio, per accedere a un account di posta elettronica protetto da MFA, un utente potrebbe dover inserire la password corretta dell'account (il primo fattore) e un codice di accesso monouso che il provider di posta elettronica invia sul dispositivo mobile dell'utente tramite messaggio di testo (il secondo fattore). Per un account particolarmente sensibile, potrebbe essere richiesta una terza prova, come il possesso di una chiave hardware.

L'utente può accedere al sistema solo se tutti i fattori richiesti vengono verificati. Se qualcosa non va come previsto, il tentativo di accesso non va a buon fine.

I metodi MFA vengono utilizzati per accedere a tutti i tipi di account, asset e sistemi sensibili. Sono disponibili anche offline: l'utilizzo di una carta di credito (la prima prova) e di un PIN (la seconda prova) per prelevare contanti da un bancomat rappresenta una forma di MFA.

La MFA è diventata un elemento sempre più importante nelle strategie aziendali di gestione delle identità e degli accessi (IAM). I metodi standard di autenticazione a fattore singolo si basano su nomi utente e password, che possono essere sottratti o violati facilmente. In effetti, le credenziali compromesse causano il 10% delle violazioni dei dati, secondo il Report Cost of a Data Breach di IBM®.

I sistemi MFA aggiungono un ulteriore livello di sicurezza richiedendo più di una prova per confermare l'identità di un utente. Anche se un hacker ruba una password, non dispone di dati sufficienti per ottenere un accesso non autorizzato a un sistema. Ha bisogno del secondo fattore.

Inoltre, il secondo fattore è spesso molto più difficile da ottenere rispetto a una semplice password, ad esempio nel caso di un'impronta digitale o di un token di physical security.

In un sistema MFA, gli utenti hanno bisogno di almeno due prove, chiamate "fattori di autenticazione", per dimostrare la loro identità. I sistemi MFA possono utilizzare diversi tipi di fattori di autenticazione e i veri sistemi MFA utilizzano almeno due tipi diversi di fattori.

L'utilizzo di diversi tipi di fattori è considerato più sicuro rispetto all'utilizzo di più fattori dello stesso tipo perché i criminali informatici devono utilizzare metodi separati su canali diversi per ottenere ogni fattore.

Ad esempio, gli hacker potrebbero rubare la password di un utente installando uno spyware sul computer della vittima. Ma lo spyware non è in grado di intercettare i codici di accesso monouso inviati allo smartphone dell'utente, né di copiare la sua impronta digitale. Per raccogliere tutte le credenziali di cui hanno bisogno, gli hacker dovrebbero intercettare il messaggio SMS contenente il codice di accesso o violare lo scanner delle impronte digitali.

I tipi di fattori di autenticazione includono:

• Fattori di conoscenza
• Fattori di possesso
• Fattori di inerenza
• Fattori comportamentali

I fattori di conoscenza sono informazioni che, in teoria, solo l'utente conosce, come le password, i PIN e le risposte alle domande di sicurezza. I fattori di conoscenza, tra cui le password, sono il primo fattore nella maggior parte delle implementazioni MFA.

Tuttavia, i fattori di conoscenza sono anche i fattori di autenticazione più vulnerabili. Gli hacker possono ottenere password e altri fattori di conoscenza tramite attacchi di phishing, installando malware sui dispositivi degli utenti o organizzando attacchi brute-force in cui utilizzano i bot per generare e provare a inserire potenziali password su un account finché non trovano quella corretta.

Anche altri tipi di fattori di conoscenza sono vulnerabili. Le risposte a molte domande di sicurezza, come il classico "Qual è il cognome da nubile di tua madre?", possono essere scoperte facendo una semplice ricerca sui social media o attraverso gli attacchi di ingegneria sociale che inducono gli utenti a divulgare informazioni personali.

La pratica comune di richiedere una password e una domanda di sicurezza non è una vera MFA perché utilizza due fattori dello stesso tipo, in questo caso due fattori di conoscenza. Si tratta invece di un processo di verifica in due passaggi. La verifica in due passaggi offre una maggiore sicurezza perché richiede più di un fattore, ma non è sicura come la MFA.

I fattori di possesso sono cose che una persona possiede e che può utilizzare per dimostrare la propria identità. I fattori di possesso includono sia i token software digitali che i token hardware fisici.

I token software, che sono attualmente i più diffusi, sono chiavi di sicurezza digitali memorizzate o generate da un dispositivo di proprietà dell'utente, in genere uno smartphone o un altro dispositivo mobile. Con i token software, il dispositivo dell'utente funge da fattore di possesso. Il sistema MFA presuppone che solo l'utente legittimo abbia accesso al dispositivo e a tutte le informazioni in esso contenute.

I token di sicurezza software possono assumere molte forme, dai certificati digitali che autenticano automaticamente un utente alle password monouso (OTP) che cambiano ogni volta che un utente accede.

Alcune soluzioni MFA inviano OTP al telefono dell'utente tramite SMS, e-mail o chiamata. Altre implementazioni MFA utilizzano le app di autenticazione, ovvero apposite app per dispositivi mobili che generano continuamente password temporanee monouso (TOTP). Molte TOTP scadono dopo 30-60 secondi, il che le rende difficili da rubare e utilizzare prima che scada il tempo e la password diventi obsoleta.

Alcune app di autenticazione utilizzano le notifiche push anziché le TOTP. Quando un utente tenta di accedere a un account, l'app invia una notifica push direttamente al sistema operativo iOS o Android del dispositivo dell'utente. L'utente deve aprire la notifica per confermare il tentativo di accesso.

Le app di autenticazione più comuni includono Google Authenticator, Microsoft Authenticator e LastPass Authenticator.

Altri sistemi di autenticazione utilizzano componenti hardware dedicati che fungono da token fisici. Alcuni token fisici si collegano alla porta USB di un computer e trasmettono automaticamente le informazioni di autenticazione ad app e siti. Altri token hardware sono dispositivi autonomi che generano OTP su richiesta.

I token hardware possono anche includere chiavi di sicurezza più tradizionali, come un dispositivo che apre una serratura fisica o una smart card che l'utente deve strisciare in un lettore di carte.

Il vantaggio principale dei fattori di possesso è che gli autori degli attacchi devono essere fisicamente in possesso del fattore per impersonare un utente. Hanno quindi bisogno, ad esempio, di rubare uno smartphone o una chiave di sicurezza. Inoltre, le OTP scadono dopo un determinato periodo di tempo. Anche se gli hacker riescono a rubarne una, potrebbe non funzionare.

Ma i fattori di possesso non sono infallibili. I token fisici possono essere rubati, persi o smarriti. I certificati digitali possono essere copiati. Le OTP sono più difficili da rubare rispetto alle password tradizionali, ma sono comunque suscettibili a determinati tipi di malware, truffe di spear phishing o attacchi man-in-the-middle.

Gli hacker possono anche utilizzare mezzi più sofisticati. In una truffa di clonazione della SIM, gli hacker creano un duplicato funzionante della scheda SIM dello smartphone della vittima, che consente loro di intercettare i codici di accesso inviati al numero di telefono dell'utente.

Gli attacchi MFA fatigue sfruttano i sistemi MFA che utilizzano notifiche push. Gli hacker inviano decine di notifiche fraudolente al dispositivo dell'utente nella speranza che la vittima ne confermi accidentalmente una, consentendo all'hacker di entrare nel suo account.

Chiamati anche "dati biometrici", i fattori di inerenza sono tratti fisici unici dell'utente, come impronte digitali, tratti del viso e scansioni della retina. Molti smartphone e laptop sono dotati di scanner facciali e lettori di impronte digitali e molte app e siti web possono utilizzare questi dati biometrici come fattore di autenticazione.

Violare i fattori di inerenza è molto difficile, ma non impossibile. Ad esempio, i ricercatori di sicurezza hanno trovato un modo per violare gli scanner di impronte digitali di Windows Hello su alcuni laptop. I ricercatori sono riusciti a sostituire le impronte digitali degli utenti registrati con le proprie, prendendo di fatto il controllo dei dispositivi.

I progressi nella generazione di immagini con l'AI sollevano preoccupazioni anche per gli esperti di cybersecurity, perché gli hacker potrebbero utilizzare questi strumenti per ingannare i software di riconoscimento facciale.

Quando i dati biometrici vengono compromessi, non possono essere modificati rapidamente o facilmente, il che rende difficile fermare gli attacchi in corso e riprendere il controllo degli account.

I fattori comportamentali sono artefatti digitali che verificano l'identità di un utente in base a modelli comportamentali, come l'intervallo tipico degli indirizzi IP, la posizione e la velocità media di digitazione dell'utente.

Ad esempio, quando si accede a un'app da una rete privata virtuale (VPN) aziendale, l'utente potrebbe dover fornire un solo fattore di autenticazione. La sua presenza sulla VPN attendibile conta come secondo fattore.

Allo stesso modo, alcuni sistemi consentono agli utenti di registrare dispositivi attendibili come fattori di autenticazione. Ogni volta che l'utente accede al sistema dal dispositivo attendibile, l'utilizzo del dispositivo funziona automaticamente come secondo fattore.

Sebbene i fattori comportamentali rappresentino un metodo di autenticazione avanzato, gli hacker possono comunque impersonare gli utenti imitando il loro comportamento.

Ad esempio, se un hacker riesce ad accedere a un dispositivo attendibile, può utilizzarlo come fattore di autenticazione. Allo stesso modo, gli autori degli attacchi possono falsificare i loro indirizzi IP per far sembrare che siano connessi alla VPN aziendale.

La MFA adattiva utilizza l'autenticazione adattiva, detta anche "autenticazione basata sul rischio". I sistemi di autenticazione adattiva utilizzano l'AI e il machine learning (ML) per valutare l'attività degli utenti e modificare attivamente i requisiti richiesti per l'autenticazione. Più una situazione è rischiosa, maggiore è il numero di fattori di autenticazione che l'utente deve fornire.

Ad esempio, se un utente tenta di accedere a un'app di basso livello da un dispositivo noto su una rete attendibile, potrebbe dover immettere solo una password.

Se lo stesso utente tenta di accedere alla stessa app da una connessione wifi pubblica non protetta, potrebbe dover fornire un secondo fattore.

Se l'utente tenta di accedere a informazioni particolarmente sensibili o di modificare informazioni critiche dell'account, potrebbe dover superare un terzo o persino un quarto fattore.

I sistemi di autenticazione adattiva possono aiutare le organizzazioni ad affrontare alcune delle sfide più comuni delle implementazioni MFA. Ad esempio, gli utenti potrebbero opporsi alla MFA perché la trovano meno pratica di una semplice password. La MFA adattiva, richiedendo più fattori solo nel caso di situazioni sensibili, può migliorare l'esperienza dell'utente.

Per un'organizzazione, asset e parti diverse della rete potrebbero richiedere livelli di sicurezza diversi. L'utilizzo della MFA per ogni app e attività potrebbe essere percepito negativamente dagli utenti e offrire pochi vantaggi in termini di sicurezza.

I sistemi di autenticazione adattiva consentono alle organizzazioni di definire processi di gestione degli accessi più granulari in base agli utenti, alle attività e alle risorse coinvolte, anziché applicare una soluzione unica per tutti.

Detto questo, i sistemi adattivi potrebbero richiedere più risorse e competenze per la manutenzione rispetto a una soluzione MFA standard.

I sistemi MFA senza password accettano solo fattori di possesso, di inerenza e comportamentali, non i fattori di conoscenza. Ad esempio, richiedere a un utente un'impronta digitale insieme a un token fisico costituisce una MFA senza password.

Le passkey, come quelle basate sul diffuso standard FIDO, sono una delle forme di autenticazione senza password più diffuse. Usano la crittografia a chiave pubblica per verificare l'identità di un utente.

La MFA senza password elimina i fattori di conoscenza perché sono i fattori più facili da violare. Sebbene la maggior parte dei metodi MFA attuali utilizzi le password, gli esperti del settore prevedono un futuro sempre più senza password. Organizzazioni come Google, Apple, IBM e Microsoft offrono opzioni di autenticazione senza password.

Le organizzazioni utilizzano sistemi di autenticazione per proteggere gli account degli utenti da questi attacchi. Tuttavia, nei sistemi di autenticazione più elementari, per ottenere l'accesso è sufficiente una password, il che non è molto più sicuro che dire "Fammi entrare, sono io".

Secondo il Report Cost of a Data Breach di IBM®, le credenziali compromesse e il phishing sono due dei vettori di attacco informatico più comuni alla base delle violazioni dei dati. Insieme, rappresentano circa il 26% delle violazioni. Entrambi i vettori spesso si basano sul furto delle password, che gli hacker possono utilizzare per prendere il controllo di account e dispositivi legittimi e creare scompiglio.

Gli hacker prendono di mira le password perché sono facili da violare con attacchi di brute force o con l'inganno. Inoltre, poiché le persone riutilizzano le password, gli hacker possono spesso usare una singola password rubata per accedere a più account. Il furto di una password può avere conseguenze significative per gli utenti e le organizzazioni e sfociare nel furto di identità, nel furto di denaro, nel sabotaggio di un sistema e altro ancora.

La MFA aggiunge un ulteriore livello di protezione agli account utente, aiutando a contrastare l'accesso non autorizzato ponendo più ostacoli tra gli autori degli attacchi e i loro obiettivi. Anche se gli hacker possono rubare una password, hanno bisogno di almeno un fattore in più per entrare.

La MFA può inoltre aiutare le organizzazioni a soddisfare i requisiti di conformità. Ad esempio, il Payment Card Industry Data Security Standard (PCI DSS) richiede esplicitamente la MFA per i sistemi che gestiscono i dati delle carte di pagamento.

Altre normative sulla privacy dei dati e sulla sicurezza, come la legge Sarbanes-Oxley (SOX) Act e il Regolamento generale sulla protezione dei dati (GDPR), non richiedono esplicitamente la MFA. Tuttavia, i sistemi MFA possono aiutare le organizzazioni a soddisfare i rigidi standard di sicurezza stabiliti da queste leggi.

In alcuni casi, le organizzazioni sono state costrette ad adottare la MFA a seguito di violazioni dei dati. Ad esempio, la Federal Trade Commission ha ordinato al venditore di alcolici online Drizly di implementare la MFA a seguito di una violazione che ha colpito 2,5 milioni di clienti.¹

Il single sign-on (SSO) è uno schema di autenticazione che consente agli utenti di accedere a più applicazioni utilizzando un unico set di credenziali. Sebbene SSO e MFA si occupino entrambi di autenticazione, hanno scopi fondamentalmente diversi: la MFA aumenta la sicurezza, mentre l'SSO è progettato per la facilità d'uso.

L'SSO viene spesso utilizzato nelle organizzazioni in cui il personale deve accedere a più servizi o app per svolgere il proprio lavoro. Richiedere agli utenti di creare account separati per ogni app può causare la "password fatigue", ovvero lo stress associato al dover ricordare un numero eccessivo di credenziali di accesso.

L'SSO consente alle persone di utilizzare un'unica combinazione di credenziali di accesso per più applicazioni, migliorando l'esperienza dell'utente.

La MFA non risolve necessariamente il problema dell'esperienza utente, ma aggiunge ulteriori livelli di sicurezza al processo di accesso.

MFA e SSO sono correlati e complementari in quanto i moderni sistemi SSO spesso richiedono la MFA, contribuendo a garantire un accesso semplice e relativamente sicuro.

La differenza tra 2FA e MFA è che la 2FA utilizza esattamente due fattori, mentre la MFA potrebbe richiedere due, tre o persino più fattori, a seconda del livello di sicurezza necessario. La 2FA è un tipo di MFA.

La maggior parte delle applicazioni MFA utilizza la 2FA perché due fattori sono spesso sufficientemente sicuri. Tuttavia, le organizzazioni potrebbero richiedere fattori aggiuntivi per dimostrare un'identità prima di concedere l'accesso a informazioni altamente sensibili come dati finanziari o file contenenti informazioni di identificazione personale (PII).