Ci sono molti approcci differenti alla autenticazione multi-fattore, alcuni più sicuri, altri meno. Prendiamo in esame i più comuni e valutiamone l’efficacia
di Alexandre Cagnoni, Director of Authentication in WatchGuard Technologies
Indice dei contenuti
Verifica in due passaggi”, “autenticazione forte”, “2FA”, “MFA”. Questi termini oggi sono molto più diffusi e noti rispetto a qualche anno fa. Le soluzioni di autenticazione multi-fattore – o semplicemente MFA – sono progettate per proteggere le credenziali degli utenti e semplificare la gestione delle password con l’aggiunta di almeno un fattore di autenticazione addizionale rispetto al normale processo con semplice password. Questi fattori addizionali possono
essere rappresentati da qualcosa che si conosce (password, PIN), qualcosa che si possiede (token), qualcosa che ci identifica (impronta digitale, riconoscimento facciale ecc.). Poiché il furto di credenziali è diventato una piaga reale suscitando l’attenzione dell’industria della sicurezza, sul mercato sono apparse molte soluzioni MFA. Ma sono tutte ugualmente valide?
In realtà ci sono molti approcci differenti alla MFA, alcuni più sicuri, altri meno. Prendiamo in esame i più comuni metodi di autenticazione multi-fattore, e valutiamo quali sono più efficaci.
Il secondo fattore di autenticazione in questo caso è un Sms. L’utente riceve sul suo telefono un Sms con un numero di 6 cifre, quindi teoricamente solo l’utente che ha quel telefono sarà in grado di autenticarsi, corretto? In realtà non è proprio così.
Ci sono molti modi comprovati per violare un Sms One-Time Password (Otp). Un malintenzionato potrebbe intercettare un Sms sfruttando le vulnerabilità nella rete cellulare (SS7). Oppure, del malware installato sul telefono della vittima potrebbe reindirizzare l’Sms al telefono dell’attaccante. Un attacco di social engineering a un carrier potrebbe permettere a un attaccante di ottenere una nuova Sim card associata col numero della vittima e ricevere così il messaggio Otp.
Si tratta di uno dei più vecchi metodi MFA ancora oggi in uso. I token di autenticazione hardware sono piccoli dispositivi con un display che mostra l’Otp a tempo. Gli aspetti negativi sono diversi: l’utente deve portare con sè questo hardware, il token è molto costoso, coinvolge aspetti logistici per la sua consegna e deve essere sostituito periodicamente. Alcuni token richiedono una connessione USB, che può essere una limitazione se ci si deve autenticare tramite smartphone o tablet.
Funzionano proprio come i token hardware, ma in modalità app. Il vantaggio è che l’utente deve portare con sé solo il proprio smartphone. Ma il problema sta nel “processo di attivazione”. Fornire tutte le chiavi e le credenziali su un QR code, come Google Authenticator, di solito non è una buona idea. Chiunque ottenga una copia di quel QR Code avrà una versione clonata del token.
A differenza degli Sms, il messaggio Push trasporta un messaggio crittografato che può essere aperto solo dall’app specifica nel telefono dell’utente. Pertanto, l’utente disporrà di informazioni contestuali per decidere se il tentativo di accesso in questione è autentico e quindi può approvare o negare rapidamente l’autenticazione. Se approvato, una Otp unica viene generata internamente dal token sul telefono dell’utente e inviata con un messaggio di approvazione per verificarla. Non tutte le soluzioni MFA lo fanno, il che aumenta il rischio di imitazione o spoofing di un messaggio di approvazione Push.
Mentre un token di autenticazione Push richiede una connessione dati, l’autenticazione basata su QR code funziona offline e fornisce le informazioni contestuali tramite il QR code stesso. L’utente esegue la scansione del QR code sullo schermo con l’app per l’autenticazione mobile, quindi digita l’Otp generata dall’app mobile in base alla chiave univoca, all’ora e alle informazioni contestuali. Questa esperienza utente fluida è importante, motivo per cui i token basati su push e su QR code stanno diventando popolari.
Esistono come abbiamo visto molti metodi diversi di autenticazione, ma non tutti offrono lo stesso livello di sicurezza. Un token di autenticazione Push può essere più efficace di un token hardware; ma non tutti i token basati su tecnologia Push funzionano allo stesso modo. Per chi sta per implementare una soluzione MFA, il consiglio è quello di valutare tutti questi aspetti e di comprendere bene a quale livello di sicurezza e rischio ci si ti sta esponendo con la soluzione MFA che si sta scegliendo.
WatchGuard propone una sua soluzione di autenticazione multi-fattore per le aziende chiamata AuthPoint. Si tratta di un servizio basato su Cloud, senza hardware da installare e software da aggiornare. AuthPoint di WatchGuard offre una sofisticata funzione di MFA che garantisce che voi e solo voi possiate accedere ai vostri account e risorse online dal vostro dispositivo mobile. Questa funzione prende il nome di “DNA mobile”.
Proprio come quello corporeo, il DNA mobile di ognuno sarà diverso da quello di un emulatore o del dispositivo mobile di un hacker.
Per saperne di più, è possibile scaricare l’eBook sulla MFA secondo WatchGuard e scoprire come prendere possesso della propria identità con il potere di un DNA mobile, per evitare che lo faccia un hacker.
Gli strumenti con laser e l’intelligenza artificiale possono contribuire a diminuire il numero di incidenti…
Il Gruppo E stringe un accordo strategioi in ambito AI: con Araneum Group per il…
Il progetto con intelligenza artificiale, chiamato Mulberry, è il prossimo tassello dell’ecosistema di benessere di…
Meta AI, l’intelligenza artificiale di Zuckerberg, sbarca su WhatsApp tra entusiasmo, sospetti e qualche risata…
Microsoft sostituisce la celebre schermata Blue Screen of Death con una versione nera, più moderna…
Scopri tutte le novità di iOS 18.4, l’aggiornamento che rivoluziona l’esperienza su iPhone con AI,…
Via Italia 50, 20900 Monza (MB) - C.F. e Partita IVA: 03339380135
Reg. Trib. Milano n. 409 del 21/7/2011 - ROC n. 21424 del 3/8/2011
