Cos’è l’autenticazione a più fattori (MFA)?
L’autenticazione a più fattori (MFA) prevede che il soggetto che vuole autenticarsi si identifichi con il sistema di verifica dell’identità attraverso un numero di fattori maggiore o uguale a due. Il suo scopo è quello di migliorare la sicurezza rispetto ai sistemi di autenticazione classica ad un solo fattore (tipicamente i sistemi con nome utente e password), introducendo per l’appunto più fattori e quindi aumentando il numero di informazioni richieste a colui che intende autenticarsi. Così facendo infatti, si renderà più difficile l’accesso di eventuali intrusi, poiché essi dovrebbero essere a conoscenza di tutti i fattori richiesti, una situazione molto meno probabile rispetto a quella di conoscerne uno solo.
In particolare, un fattore è qualcosa che l’utente ha o conosce, uno specifico luogo dove si trova o una sua caratteristica. Per fare alcuni esempi, l’utente può possedere un token di accesso come una tessera o una chiavetta, oppure può essere a conoscenza di un codice come un PIN o una password aggiuntiva. Un altro ancora è il sistema di riconoscimento biometrico come l’impronta digitale, la scansione facciale o dell’occhio, o il riconoscimento dei tratti della voce. L’autenticazione basata sul luogo, invece, fa generalmente riferimento alla posizione precisa dell’utente al momento dell’autenticazione.
Perché è importante attivare l’autenticazione a più fattori?
Al giorno d’oggi è fondamentale attivare l’autenticazione a più fattori ovunque sia possibile farlo. Questo perché con l’evoluzione della tecnologia e conseguentemente della potenza dei computer è diventato sempre più facile per i criminali informatici scovare le credenziali degli utenti. Sono già molti, infatti, i servizi che richiedono un’autenticazione a più fattori, basti pensare all’accesso all’home banking, dove viene sempre richiesto un codice OTP generato da un’apposita chiavetta-token o ricevuto attraverso un SMS. Questi servizi sono stati i primi ad adottare sistemi di autenticazione robusta, perché a causa della loro delicatezza richiedono un livello di sicurezza superiore rispetto ad altri contesti.
Attivare l’autenticazione a più fattori permette infatti di andare a ridurre la vulnerabilità dell’account nei confronti di un furto di password, questo perché possedendo una password come unico fattore è sufficiente comprometterla per ottenere il pieno accesso all’account, mentre utilizzando un’autenticazione a più fattori il semplice furto di una password non sarà più sufficiente per effettuare l’accesso.
Negli ultimi tempi a causa della recente pandemia, il lavoro in smart working si è diffuso in maniera massiccia ed è stato portato all’attenzione il tema della vulnerabilità dei sistemi di autenticazione in ambito lavorativo, rendendo quindi necessario un ammodernamento al fine di offrire un’autenticazione più sicura e in grado di proteggere i sistemi da possibili intrusioni. Un’infiltrazione all’interno di un sistema di smart working può infatti apportare grossi danni alla società o all’azienda in questione. Gli attacchi possono essere di varia natura, a partire da un’intrusione al fine di creare disservizi e inoperatività, passando per il danneggiamento dei sistemi o arrivando a furti massicci di informazioni private dell’azienda o addirittura ai dati personali o riservati di utenti e clienti.
È per questo che è fondamentale aggiornare i propri sistemi di autenticazione rendendoli a prova di intrusione, così da poter lavorare senza pensieri e preoccupazioni ed evitare di ritrovarsi in situazioni spiacevoli.
L’autenticazione a più fattori di Azure Active Directory (AD)
Azure Active Directory offre una serie di soluzioni per soddisfare le esigenze delle aziende attraverso sistemi di autenticazione a più fattori composti in modo mirato e che permettono una perfetta protezione degli accessi ad account e applicazioni.
Quali sono i fattori di autenticazione aggiuntivi supportati da Azure AD
Azure AD supporta una vasta gamma di fattori di autenticazione, tra i quali metodi passwordless, ovvero che non richiedono l’utilizzo di una password, questo al fine di garantire un accesso maggiormente sicuro.
In generale il funzionamento di Azure AD si basa sulla richiesta di almeno due tipologie di fattori scelti tra un’informazione nota, come una password, un dispositivo fisico come un token hardware in grado di generare un codice o uno smartphone e una caratteristica fisica dell’utente, come l’impronta digitale o la scansione facciale.
Tra i possibili fattori di autenticazione in Azure AD troviamo Microsoft Authenticator, un’app per smartphone che tramite una combinazione di notifiche, codici monouso e scansioni biometriche permette l’accesso direttamente dallo smartphone stesso. Un’altra soluzione possibile è Windows Hello for Business, che tramite l’autenticazione a due fattori permette l’accesso da un dispositivo Windows 10 tramite un PIN e un’informazione biometrica come scansione dell’impronta digitale o del volto. Sono inoltre possibili altri metodi di autenticazione ed alcuni di questi si basano su dei token di tipo hardware o software. Per quanto riguarda i token hardware, sono dei dispositivi in grado di generare un codice OTP ovvero una password monouso, mentre quelli software, come ad esempio la sopracitata app Microsoft Authenticator, sfruttano altri tipi di informazioni relative all’utente per generare una password monouso. Esistono poi altri tipi di sistemi di accesso, da considerarsi oggi i meno robusti, che si basano sull’invio di codici tramite SMS o chiamate vocali verso un numero telefonico prescelto.
Il metodo che però è sicuramente il più sicuro e flessibile è quello delle chiavi FIDO2, un sistema di tipo aperto e che non prevede l’utilizzo di password. Generalmente vengono utilizzati dei supporti USB, ma lo scambio delle chiavi è possibile anche tramite bluetooth o NFC. La maggior sicurezza garantita da questo sistema è dovuta al fatto che non è più presente una password violabile, ma il fattore necessario per l’autenticazione, ovvero la chiave FIDO2, è contenuto in un dispositivo hardware e non risulta perciò in alcun modo violabile.
Tra i migliori token troviamo sicuramente quelli di Yubico. Si tratta di token hardware che operano tramite porta USB, in alcuni modelli anche NFC. Sono disponibili in due versioni, la Yubikey, basata sul sistema FIDO e la Security Key, che opera invece basandosi sull’autenticazione a chiave pubblica. In particolare, questo tipo di soluzioni è perfettamente compatibile con il sistema di autenticazione a più fattori Azure AD e permette di effettuare l’autenticazione in modalità passwordless, ovvero in maniera completamente sicura e senza l’utilizzo di alcuna password.
Unphishable Multi-Factor Authentication
Come accennato, esistono fattori aggiuntivi di autenticazione più o meno vulnerabili di altri.
Ad esempio, SMS o chiamate vocali possono essere aggirate accedendo illegittimamente al telefono dell’utente, a seguito di un furto o di un accesso temporaneo ad un telefono incustodito. Essendo questi fattori aggirabili, espongono a potenziali attacchi di phishing che possono risultare ancora più gravi se chi subisce l’attacco ha la convinzione di essere protetto completamente da una soluzione a due fattori e non applica correttamente il modello di sicurezza Zero Trust.
È importante adottare soluzioni basate sull’autentificazione a più fattori che evitano a prescindere lo scambio di codici o password aggiuntive tra chi configura l’MFA e l’utente finale e che richiedono una verifica biometrica aggiuntiva.
