Agli albori dell’informatica, l’autenticazione era semplice, ma l’approccio è diventato più sofisticato nel tempo. Ad esempio, i moderni sistemi di autenticazione basati su password come Kerberos in realtà non trasmettono più le password; generano invece un token di autenticazione che viene inviato.
Ma anche con questi miglioramenti, un approccio all’autenticazione basato su nome utente e password presenta ancora un punto debole: se qualcuno apprende la password di un altro utente, è indistinguibile da il vero utente. E sebbene Bill Gates abbia predetto la morte della password quasi 20 anni fa, rimangono il metodo di autenticazione predefinito per una serie di servizi al lavoro e a casa.
Nel dicembre 2022, PayPal ha avvertito i suoi clienti di un accesso non autorizzato di terze parti a diversi account che potrebbero causare fughe di informazioni personali. L’incidente ha immediatamente messo in discussione le disposizioni di sicurezza di base di PayPal e sono sorte domande come il motivo per cui l’autenticazione a più fattori (MFA) non è stata applicata per impostazione predefinita per un servizio così sensibile come PayPal.
In tali eventi, la causa principale è un problema prevalente in cui i titolari di account utilizzano lo stesso Combinazioni ID/password per più siti e applicazioni. Secondo il recente One Identity sondaggio, l’84% degli intervistati ha affermato di avere una password preferita. Tale spruzzatura di password semplifica l’accesso degli attori delle minacce a informazioni sensibili, soprattutto se non sono protette con un ulteriore livello di autenticazione. Il vicepresidente della sicurezza delle identità di Microsoft, Alex Weinert, nel suo intervento alla The Experts Conference ( TEC) 2022 ha evidenziato che gli attacchi di password spraying sono aumentati da 350.000 nel 2018 a oltre 5 milioni nel 2022. Ha inoltre osservato che la probabilità di compromissione aumenta di oltre 20 volte senza MFA abilitato.
Pertanto, l’AMF sta diventando una componente cruciale della strategia di sicurezza informatica, avvantaggiando sia le organizzazioni che i loro utenti affrontando i principali punti deboli dell’autenticazione con nome utente e password.
Con aziende come Microsoft che modificano i propri consigli per le identificazioni MFA e presto abilitando una nuova metodologia di autenticazione, chiamata corrispondenza dei numeri, l’implementazione dell’autenticazione a più fattori per gli utenti a rischio sta diventando cruciale e altamente consigliata dai leader del settore.
Utilizzo della corrispondenza dei numeri
Secondo la Cybersecurity and Infrastructure Securi degli Stati Uniti ty Agency (CISA), la corrispondenza dei numeri è la migliore mitigazione provvisoria per le organizzazioni che potrebbero non essere immediatamente in grado di implementare un MFA resistente al phishing. La corrispondenza dei numeri richiede agli utenti di abbinare un numero generato automaticamente nella schermata di accesso con il numero nell’app Authenticator. In una guida, CISA consiglia di utilizzare l’autenticazione a più fattori basata sulla corrispondenza dei numeri come protezione aggiuntiva per le applicazioni cloud. Diversi fornitori stanno già includendo la corrispondenza dei numeri nelle loro implementazioni MFA e, sebbene Microsoft non stia imponendo il multifattore basato sui numeri in questo momento, inizieranno a implementare il mandato il 27 febbraio 2023.
In Oltre alla corrispondenza dei numeri MFA, si consiglia agli amministratori di rivedere periodicamente i registri di controllo e le autenticazioni multifattoriali non riuscite, nonché di incoraggiare il personale a segnalare qualsiasi evento insolito, specifico nel momento in cui si verificano gli eventi, richiede MFA, affinché il personale forense possa esaminarli.
Tuttavia, è sempre importante tenere presente l’affaticamento dell’MFA così come altri vettori di attacco come il phishing e seguire le raccomandazioni della CISA sull’implementazione dell’MFA resistente al phishing per una migliore protezione della sicurezza.
Implementazioni MFA resistenti al phishing
Esistono molteplici varianti dell’autenticazione a più fattori, ma quasi tutte condividono un punto debole: è necessaria l’interazione umana. E laddove è richiesta l’interazione umana, può verificarsi il phishing.
Una risposta comune alle forme più problematiche di MFA è l’MFA resistente al phishing, lo standard di sicurezza informatica di riferimento della CISA, che rimuove il fattore umano dall’equazione.
L’autenticazione resistente al phishing più ampiamente disponibile è l’autenticazione FIDO/WebAuthn, supportata dai principali browser, sistemi operativi e smartphone. Con l’autenticazione resistente al phishing, le password vengono sostituite tramite crittografia avanzata legata a un autenticatore esterno come una chiave di sicurezza USB, un dispositivo in possesso dell’utente o API di gestione delle credenziali. Basato sulla crittografia a chiave pubblica, l’MFA resistente al phishing elimina l’uso di codici condivisi, riducendo la capacità degli aggressori di intercettare i codici di accesso e riprodurli.
Ovviamente, quando si sceglie questa soluzione, è necessario considerare costi e budget metodologia, poiché l’implementazione dei token richiede tempo ed è consigliabile avere più di un token come backup. I token fisici richiedono anche che l’utente si ricordi di tenerli, mentre per molti di noi un telefono è un oggetto più naturale da conservare. Si consiglia alle aziende di pensare a dispositivi che aiutino gli utenti a tenere i token a portata di mano e rendano più facile averli a portata di mano in caso di necessità.
Spoof Proof
Ma sul lato positivo, l’implementazione MFA resistente al phishing garantisce che il multifattore non possa essere falsificato. Quando si implementa un MFA resistente al phishing, le aziende devono verificare se le applicazioni che desiderano proteggere supporteranno queste implementazioni multifattoriali potenziate. Alcuni non supporteranno questi token aggiuntivi e si affideranno invece solo ai token dell’applicazione.
Potrebbero anche esserci una curva di apprendimento e tempi di implementazione, che potrebbero portare all’utilizzo di un multi-fattore basato sull’applicazione come temporaneo misura per garantire che la protezione sia in atto e successivamente implementare l’approccio basato su token per una protezione aggiuntiva.
Non c’è dubbio che l’autenticazione a più fattori avvantaggi le organizzazioni e gli utenti rafforzando notevolmente la sicurezza. Ma richiedere sempre l’autenticazione a più fattori per tutti è praticamente garantito per frustrare gli utenti e danneggiare la produttività. È importante adottare un approccio equilibrato.
L’AMF è meglio intesa come un aspetto della più ampia strategia di sicurezza della tua organizzazione. Molti esperti ora consigliano di sviluppare una strategia di sicurezza basata sui principi Zero Trust e di utilizzare strumenti come l’accesso condizionale di Azure AD, che offre molta flessibilità per applicare l’autenticazione a più fattori con giudizio.
Con i numeri degli attacchi informatici continuano a salire e un rapporto rilevando che il 20% delle aziende afferma che un attacco informatico ha minacciato la loro solvibilità, implementazione di MFA è un passo fondamentale per proteggere il business e la reputazione dell’azienda dalle minacce informatiche. Sebbene non sia una panacea per tutte le vulnerabilità informatiche, è necessaria per mitigare le minacce.
Credito immagine: Jirsak/foto di deposito
Alistair Holmes è Principal Solutions Architect, Quest Software