Come applicare la Multi Factor Authentication (MFA)? Non tutti i sistemi software sono nativamente equipaggiati di Multi Factor Authentication, ma la buona notizia è che tutti possono implementarla in qualsiasi momento.
Ma facciamo un passo indietro: che cosa è la Multi Factor Authentication? L’autenticazione a più fattori implica l’aggiunta di un ulteriore livello di sicurezza rispetto all’autenticazione standard (un nome utente associato a una password semplice e complessa), richiedendo agli utenti l’inserimento di più di un’informazione per la loro identificazione e autenticazione.
Non tutti i produttori di software hanno pensato a come applicare la Multi Factor Authentication in aggiunta al controllo accessi standard, ma se fino a qualche tempo fa questa semplice misura standard di controllo dell’accesso poteva bastare, oggi i sistemi che prevedono semplici combinazioni di nome utente e password sono violati con sempre maggiore facilità, provocando un aumento dei casi di effrazione digitale.
In questa situazione, l’autenticazione a più fattori può svolgere un ruolo importante per la Cyber Security aziendale, in quanto richiede agli attaccanti un impegno e una quantità di tempo che non tutti possono permettersi. Infatti, se la password utente viene rubata, il livello di protezione aggiuntivo offerto da una soluzione di Multi Factor Authentication impedisce all’attaccante di completare l’accesso, costringendolo/a a esporsi maggiormente per recuperare più informazioni e per violare più dispositivi.
Multi Factor Authentication come applicarla nei diversi modi e metodi
Per capire come applicare la Multi Factor Authentication al meglio è necessario conoscere le diverse modalità multi-fattore.
Sono noti i metodi di:
- password monouso basata sul tempo (OTP – One Time Password);
- servizio di messaggi brevi (SMS);
- posta elettronica (E-mail);
- notifiche push, ma in aggiunta possono essere adottati anche Token fisici o digitali;
- sistemi di domande rivolte all’utente a cui dovrebbe saper rispondere solo lui.
Di ultima generazione anche l’introduzione di riconoscimento biometrico e/o della profilazione dell’utente correlata al tipo di computer da cui esegue il login, la località dove si trova, l’IP da cui si collega, tutti elementi questi che corrispondono a un profilo caratteristico dell’utente che può essere controllato come componente aggiuntivo del processo di autenticazione.
Questi metodi, da soli o combinati fra loro, possono incidere nel processo di identificazione e di autenticazione dell’utente, per poi garantire l’autorizzazione se e solo se tutti i fattori scelti si verificano contemporaneamente.
Tipicamente si parla di autenticazione a doppio fattore se, oltre a login e password, è previsto almeno un altro metodo di riconoscimento dell’utente. Naturalmente si possono aggiungere più livelli di riconoscimento nei casi di applicazioni aziendali particolarmente critiche, o che trattano dati sensibili o secretati.
Uno dei più grandi errori è pensare che non serva aggiungere la Multi Factor Authentication, ma sia sufficiente fortificare le password, utilizzandone di più complesse e lunghe (l’hardening delle password è una prassi che richiede di introdurre maiuscole, caratteri speciali o frasi lunghe come password utente n.d.r.). Purtroppo, è ampiamente accertato che l’attacco Brute force su qualsiasi password, pur complessa, dopo un certo periodo di tempo riesce sempre ad avere successo. Invece, introducendo la MFA si complica la quantità di informazioni che l’attaccante deve avere per poter riuscire a completare i molteplici step di riconoscimento al posto dell’utente e quindi si allungano i tempi di cracking. Con il risultato che molti desistono e altri non sono in grado di procedere. Dunque, un successo della difesa.
Multi Factor Authentication come applicarla e dove
Ma al di là delle tecniche e dei metodi software per realizzare un sistema di autenticazione a multi-fattore, il vero limite è dato dalla mancanza di conoscenza da parte dei decisori su come applicare la Multi Factor Authentication rispetto ai vari luoghi digitali. In altre parole, troppo spesso non si valuta correttamente il rischio di effrazione digitale sui sistemi aziendali, dal più semplice ed esposto come può essere un sito web, fino al più interno e critico come potrebbe essere un database o un sistema di gestione dei processi core aziendali. Inoltre, solitamente i decisori c-level sono portati a pensare che la protezione MFA sia adeguata agli ambiti bancari e applicazioni loro affini di tipo finanziario, senza considerare che anche App aziendali di altro genere o che prevedono sistemi di pagamento o rendicontazione, possono avere l’esigenza di essere dotate di MFA. Per esempio, le App convenzionate con l’azienda per ordinare cibo che prevedono dati di pagamento possono essere oggetto di interesse di attaccanti che sfruttano la violazione della “supply chain” per intromettersi nei processi aziendali e rubare dati o monetizzare mediante ricatto. È necessario quindi identificare tutti gli ambiti digitali aziendali, ovvero tutti i punti di accesso alla rete e alle applicazioni aziendali, comprese quelle in comune con i fornitori, in cui un controllo accessi meno attento potrebbe favorire l’accesso all’attaccante.
Multi Factor Authentication come applicarla con Okta
Okta è una piattaforma adattiva per l’implementazione della MFA. Un potenziale cliente può centralizzare l’autenticazione su Okta, ma anche se ha un altro gestore delle identità può sempre aggiungere la Multi Factor Authentication. Di fatto Okta aumenta la MFA di secondo fattore ovunque. È realizzata mediante una piattaforma in cloud (Saas) capace di centralizzare le autenticazioni in modo sicuro e in linea con le attuali normative. La soluzione è dotata di un numero elevato di certificazioni che consentono di adottarla anche in ambiti critici.
Come applicare la Multi Factor Authentication? È semplice perché la soluzione è full agentless e quindi non richiede installazioni locali di alcun componente SW (o agent), inoltre è integrabile con qualsiasi piattaforma parli nel linguaggio SAML. Attualmente sono circa 7128 le applicazioni compatibili con cui Okta può interfacciarsi e introdurre un metodo aggiuntivo di autenticazione utente oltre a login e password. La soluzione dispone di una metodologia di threat protection per cui, se riscontra che uno dei client che ha sotto controllo ha comportamento anomalo o se esistono condizioni di rischio aumentato, automaticamente introduce fattori aggiuntivi di protezione degli accessi costringendo l’eventuale attaccante a un estenuante lavoro di ricerca informazioni per la violazione di più elementi. Tutta la soluzione è personalizzabile sia nel tipo di policy che si possono applicare, sia per la granularità con cui possono essere applicate. Infine, nei casi di migrazione in cloud Okta garantisce una implementazione leggera e veloce.
