Cos'è l'autenticazione a più fattori (MFA)?

Cos'è l'autenticazione a più fattori (MFA)?

L'autenticazione a più fattori, o MFA, è un modo per verificare l'identità dell'utente più sicuro della classica combinazione nome utente-password. L'autenticazione MFA solitamente prevede una password, ma prevede anche uno o due fattori di autenticazione aggiuntivi. L'autenticazione a due fattori (2FA) è un tipo di MFA.

L'MFA è una parte importante della gestione delle identità e degli accessi (IAM) e viene spesso implementata all'interno di soluzioni Single Sign-On (SSO).

Cosa sono i fattori di autenticazione?

Prima di concedere a un utente l'accesso a un'applicazione software o a una rete, i sistemi di verifica dell'identità valutano l'utente in base alle caratteristiche che gli sono specifiche, per assicurarsi che sia effettivamente chi dice di essere. Queste caratteristiche sono note anche come "fattori di autenticazione".

I tre fattori di autenticazione più diffusi sono:

1. Conoscenza: qualcosa che l'utente conosce
2. Possesso: qualcosa che l'utente possiede
3. Qualità intrinseche: qualcosa che l'utente è

MFA si riferisce a qualsiasi utilizzo di due o più fattori di autenticazione. Se vengono utilizzati solo due fattori di autenticazione, la MFA può anche essere definita autenticazione a due fattori o verifica in due passaggi. L'autenticazione a tre fattori è un'altra forma di MFA.

Quali sono alcuni esempi reali dei tre fattori di autenticazione?

• Conoscenza (qualcosa che l'utente sa): questo fattore è una qualcosa che solo un utente dovrebbe sapere, come una combinazione di nome utente e password. Altri tipi di fattori di conoscenza includono domande di sicurezza, numeri ID e numeri di previdenza sociale. Anche un "handshake segreto" può essere qualcosa che un utente conosce.
• Possesso (qualcosa che l'utente ha): questo fattore si riferisce al possesso di un token fisico, un dispositivo o una chiave. L'esempio più semplice di questo fattore di autenticazione è l'utilizzo di una chiave fisica per entrare in casa. Nel contesto informatico, l'oggetto fisico potrebbe essere un portachiavi, un dispositivo USB o persino uno smartphone. Molti sistemi MFA moderni inviano un codice temporaneo tramite SMS al telefono dell'utente e gli chiedono di inserirlo per accedere al suo account. Ciò dimostra che l'utente possiede un telefono che nessun altro possiede, contribuendo a stabilire la sua identità (a meno che un aggressore non abbia dirottato la scheda SIM dell'utente).
• Qualità intrinseche (qualcosa che l'utente è): si riferisce a una proprietà fisica del corpo di una persona. La versione più semplice di questo fattore di autenticazione è la capacità di riconoscere qualcuno dalla vista o dal suono della sua voce. Gli esseri umani sfruttano questa capacità costantemente nelle loro interazioni quotidiane. Un altro esempio di verifica delle qualità intrinseche è confrontare l'aspetto di una persona con la foto presente sulla sua carta d'identità. Nel contesto informatico, un esempio di questo fattore di autenticazione è Face ID, una funzionalità offerta da molti smartphone moderni. Altri metodi possono includere la scansione delle impronte digitali, la scansione della retina e gli esami del sangue.

Perché la MFA è più sicura dell'autenticazione a fattore singolo?

L'autenticazione a fattore singolo consiste nell'utilizzo di uno solo dei fattori sopra menzionati per identificare una persona. L'esempio più comune di autenticazione a fattore singolo è la richiesta di una combinazione di nome utente e password.

Il problema dell'autenticazione a fattore singolo è che un aggressore deve attaccare con successo l'utente in un solo modo per impersonarlo. Se qualcuno ruba la password dell'utente, l'account dell'utente viene compromesso. Al contrario, se l'utente implementa l'MFA, un aggressore ha bisogno di più di una password per accedere all'account: ad esempio, probabilmente dovrà rubare anche un oggetto fisico all'utente, il che è molto più difficile.

Questo problema si applica anche ad altre forme di autenticazione a fattore singolo. Immagina se le banche richiedessero solo l'uso di una carta di debito per prelevare denaro (il fattore possesso) invece di richiedere una carta e un PIN. Per rubare denaro dal conto di qualcuno, tutto ciò che un ladro dovrebbe fare è rubare la sua carta di debito.

È importante tenere presente che è l'utilizzo di fattori diversi a rendere sicura l'autenticazione MFA, non l'utilizzo multiplo dello stesso fattore.

Supponiamo che un'applicazione chieda all'utente di immettere solo una password, mentre un'altra applicazione gli chieda di immettere sia una password sia una risposta a una domanda di sicurezza. Quale applicazione sarà più sicura?

Tecnicamente, la risposta è nessuno dei due: entrambe le applicazioni si basano su un solo fattore di autenticazione, il fattore conoscenza. Un'applicazione che richiede una password e un token fisico o la scansione dell'impronta digitale è più sicura di un'applicazione che richiede solo una password e alcune domande di sicurezza.

Quali forme di MFA sono le più efficaci?

Questa è una domanda fortemente contestualizzata. In genere, qualsiasi forma di autenticazione a più fattori sarà molto più sicura dell'autenticazione a fattore singolo.

Detto questo, è stato dimostrato che alcune forme di MFA sono vulnerabili a metodi di attacco sofisticati. In un esempio reale, gli aggressori inviavano ai dipendenti messaggi SMS di phishing che li indirizzavano a pagine di accesso false per il servizio Single Sign-On dell'organizzazione. Se un utente immetteva il proprio nome utente e password in questa pagina falsa, si verificavano i seguenti passaggi:

1. Gli aggressori utilizzavano il nome utente e la password rubati sulla vera pagina di accesso dell'organizzazione.
2. La pagina di accesso reale provava a verificare un altro fattore di autenticazione, il possesso, inviando un codice temporaneo al telefono dell'utente reale.
3. Gli aggressori reindirizzavano quindi l'utente a un'altra pagina falsa, che chiedeva loro di inserire il codice temporaneo.
4. Se l'utente lo faceva, gli aggressori utilizzavano quel codice nella pagina di accesso reale e ottenevano l'accesso all'account.

Al contrario, un altro modo per verificare il possesso, ovvero un token di sicurezza USB, non sarebbe stato soggetto a questo particolare attacco. Se a tutti gli utenti venissero forniti token di sicurezza univoci da collegare ai propri computer e dovessero attivarli fisicamente per autenticarsi, gli aggressori in possesso del nome utente e della password di qualcuno non sarebbero in grado di accedere agli account a meno che non rubino il computer di quella persona. Lo stesso si potrebbe dire della verifica dell'identità utilizzando qualità intrinseche, ad esempio l'impronta digitale di un utente o la scansione facciale.

Ciò significa che i token di sicurezza e le scansioni delle impronte digitali sono più sicuri delle password monouso? In un contesto di phishing, sì. Ma le organizzazioni dovrebbero valutare i propri rischi e le proprie esigenze specifiche in materia di sicurezza prima di scegliere un metodo MFA. E ancora una volta, qualsiasi forma di MFA è più sicura dell'autenticazione a fattore singolo e rappresenterebbe un importante passo avanti nel percorso di sicurezza di un'organizzazione.

Esistono altri fattori di autenticazione?

Alcuni operatori del settore della sicurezza hanno proposto o implementato ulteriori fattori di autenticazione oltre ai tre principali elencati sopra. Sebbene implementati raramente, questi fattori di autenticazione includono quanto segue:

Posizione: dove si trova un utente al momento dell'accesso. Ad esempio, se un'azienda ha sede negli Stati Uniti e tutti i suoi dipendenti lavorano negli Stati Uniti, potrebbe valutare la posizione GPS dei dipendenti e rifiutare un accesso da un altro paese.

Ora: quando un utente effettua l'accesso, in genere in base al contesto degli altri accessi e alla posizione. Se un utente sembra effettuare l'accesso da un Paese e poi prova a effettuare un altro accesso da un altro Paese diversi minuti dopo, è improbabile che tali richieste siano legittime. Un sistema potrebbe anche rifiutare i tentativi di accesso al di fuori del normale orario lavorativo, sebbene questo sia più simile a una politica di sicurezza che a un fattore di autenticazione dell'identità.

Se entrambi questi elementi vengono considerati fattori di identità aggiuntivi (il che è oggetto di dibattito), allora l'autenticazione a quattro fattori e quella a cinque fattori sono tecnicamente possibili. Entrambi rientrano nell'ambito dell'autenticazione a più fattori.

L'implementazione di misure di sicurezza così rigorose deve essere valutata in base al costo che ciò comporta per l'utente, poiché misure di sicurezza eccessivamente rigorose spesso incentivano gli utenti ad aggirare le politiche ufficiali.

In che modo gli utenti possono implementare l'MFA per i propri account?

Oggi molti servizi Web per i consumatori offrono l'MFA. La maggior parte delle applicazioni dotate di MFA offre una forma di autenticazione a due fattori che richiede all'utente di utilizzare il proprio smartphone per effettuare l'accesso. Esplora le impostazioni di sicurezza di ogni applicazione per verificare se è possibile attivare l'autenticazione a due fattori. Inoltre, Cloudflare consente a tutti gli utenti di Cloudflare di implementare l'autenticazione a due fattori per i propri account.

In che modo le aziende possono implementare l'MFA?

L'uso di una soluzione SSO è un passaggio consigliato per l'implementazione dell'MFA. SSO fornisce un'unica posizione per l'implementazione dell'MFA in tutte le app, mentre non tutte le singole app supporteranno l'MFA.

Cloudflare Zero Trust si integra con i fornitori SSO che supportano l'autenticazione a due fattori. Cloudflare aiuta a proteggere i siti Web e le applicazioni cloud delle aziende controllando cosa possono fare gli utenti e applicando policy di sicurezza per i dipendenti, indipendentemente dal fatto che lavorino in remoto o in ambienti di ufficio controllati.