Ci sono molti approcci differenti alla autenticazione multi-fattore, alcuni più sicuri, altri meno. Prendiamo in esame i più comuni e valutiamone l’efficacia
Ci sono molti approcci differenti alla autenticazione multi-fattore, alcuni più sicuri, altri meno. Prendiamo in esame i più comuni e valutiamone l’efficacia
di Alexandre Cagnoni, Director of Authentication in WatchGuard Technologies
Indice dei contenuti
Soluzioni di autenticazione multi-fattore
Verifica in due passaggi”, “autenticazione forte”, “2FA”, “MFA”. Questi termini oggi sono molto più diffusi e noti rispetto a qualche anno fa. Le soluzioni di autenticazione multi-fattore – o semplicemente MFA – sono progettate per proteggere le credenziali degli utenti e semplificare la gestione delle password con l’aggiunta di almeno un fattore di autenticazione addizionale rispetto al normale processo con semplice password. Questi fattori addizionali possono
essere rappresentati da qualcosa che si conosce (password, PIN), qualcosa che si possiede (token), qualcosa che ci identifica (impronta digitale, riconoscimento facciale ecc.). Poiché il furto di credenziali è diventato una piaga reale suscitando l’attenzione dell’industria della sicurezza, sul mercato sono apparse molte soluzioni MFA. Ma sono tutte ugualmente valide?
In realtà ci sono molti approcci differenti alla MFA, alcuni più sicuri, altri meno. Prendiamo in esame i più comuni metodi di autenticazione multi-fattore, e valutiamo quali sono più efficaci.
SMS ONE-TIME PASSWORD
Il secondo fattore di autenticazione in questo caso è un Sms. L’utente riceve sul suo telefono un Sms con un numero di 6 cifre, quindi teoricamente solo l’utente che ha quel telefono sarà in grado di autenticarsi, corretto? In realtà non è proprio così.
Ci sono molti modi comprovati per violare un Sms One-Time Password (Otp). Un malintenzionato potrebbe intercettare un Sms sfruttando le vulnerabilità nella rete cellulare (SS7). Oppure, del malware installato sul telefono della vittima potrebbe reindirizzare l’Sms al telefono dell’attaccante. Un attacco di social engineering a un carrier potrebbe permettere a un attaccante di ottenere una nuova Sim card associata col numero della vittima e ricevere così il messaggio Otp.
TOKEN HARDWARE
Si tratta di uno dei più vecchi metodi MFA ancora oggi in uso. I token di autenticazione hardware sono piccoli dispositivi con un display che mostra l’Otp a tempo. Gli aspetti negativi sono diversi: l’utente deve portare con sè questo hardware, il token è molto costoso, coinvolge aspetti logistici per la sua consegna e deve essere sostituito periodicamente. Alcuni token richiedono una connessione USB, che può essere una limitazione se ci si deve autenticare tramite smartphone o tablet.
TOKEN MOBILI
Funzionano proprio come i token hardware, ma in modalità app. Il vantaggio è che l’utente deve portare con sé solo il proprio smartphone. Ma il problema sta nel “processo di attivazione”. Fornire tutte le chiavi e le credenziali su un QR code, come Google Authenticator, di solito non è una buona idea. Chiunque ottenga una copia di quel QR Code avrà una versione clonata del token.
TOKEN DI AUTENTICAZIONE PUSH
A differenza degli Sms, il messaggio Push trasporta un messaggio crittografato che può essere aperto solo dall’app specifica nel telefono dell’utente. Pertanto, l’utente disporrà di informazioni contestuali per decidere se il tentativo di accesso in questione è autentico e quindi può approvare o negare rapidamente l’autenticazione. Se approvato, una Otp unica viene generata internamente dal token sul telefono dell’utente e inviata con un messaggio di approvazione per verificarla. Non tutte le soluzioni MFA lo fanno, il che aumenta il rischio di imitazione o spoofing di un messaggio di approvazione Push.
TOKEN DI AUTENTICAZIONE BASATO SU QR CODE
Mentre un token di autenticazione Push richiede una connessione dati, l’autenticazione basata su QR code funziona offline e fornisce le informazioni contestuali tramite il QR code stesso. L’utente esegue la scansione del QR code sullo schermo con l’app per l’autenticazione mobile, quindi digita l’Otp generata dall’app mobile in base alla chiave univoca, all’ora e alle informazioni contestuali. Questa esperienza utente fluida è importante, motivo per cui i token basati su push e su QR code stanno diventando popolari.
I CONSIGLI DI WATCHGUARD
Esistono come abbiamo visto molti metodi diversi di autenticazione, ma non tutti offrono lo stesso livello di sicurezza. Un token di autenticazione Push può essere più efficace di un token hardware; ma non tutti i token basati su tecnologia Push funzionano allo stesso modo. Per chi sta per implementare una soluzione MFA, il consiglio è quello di valutare tutti questi aspetti e di comprendere bene a quale livello di sicurezza e rischio ci si ti sta esponendo con la soluzione MFA che si sta scegliendo.
WatchGuard propone una sua soluzione di autenticazione multi-fattore per le aziende chiamata AuthPoint. Si tratta di un servizio basato su Cloud, senza hardware da installare e software da aggiornare. AuthPoint di WatchGuard offre una sofisticata funzione di MFA che garantisce che voi e solo voi possiate accedere ai vostri account e risorse online dal vostro dispositivo mobile. Questa funzione prende il nome di “DNA mobile”.
Proprio come quello corporeo, il DNA mobile di ognuno sarà diverso da quello di un emulatore o del dispositivo mobile di un hacker.
Per saperne di più, è possibile scaricare l’eBook sulla MFA secondo WatchGuard e scoprire come prendere possesso della propria identità con il potere di un DNA mobile, per evitare che lo faccia un hacker.
Come te non c’è nessuno, Be Authentic
Francesco Marino
Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic
