La Multi Factor Authentication (autenticazione multi-fattore), o autenticazione forte, è una tecnica di garanzia della sicurezza per l’accesso alle risorse informatiche divenuta ormai irrinunciabile. La gestione degli accessi è una vera sfida a causa del continuo aumento nella complessità degli attacchi e degli espedienti (mezzi di manipolazione utilizzati nell’ingegneria sociale) usati dai criminali per carpire all’utente le sue credenziali user ID e Password.
La Muti Factor Authentication opera per contrastare i criminali informatici richiedendo all’utente informazioni o credenziali aggiuntive, ovvero due o più fattori di verifica, per ottenere l’accesso a una risorsa digitale: un’applicazione, un account online, una VPN o un sito. L’introduzione di fattori di verifica aggiuntivi, come componente fondamentale di una forte policy di gestione di identità e accessi (IAM), riduce la probabilità di successo di un attacco informatico. Ma vediamo di considerare tutte le possibili caratteristiche di una Multi Factor Authentication per capire come scegliere le più utili al proprio caso.
I sistemi di Multi Factor Authentication non sono tutti uguali
La Multi Factor Authentication è una componente fondamentale di una forte policy di gestione di identità e accessi (IAM). In particolare, la Multi Factor Authentication può essere sia una soluzione stand alone che si associa a una piattaforma di IAM già in uso in un sistema informativo, sia una parte integrante e nativa di una piattaforma di IAM.
Uno dei fattori MFA più comuni riscontrati dagli utenti sono le password monouso, le cosiddette One Time Password (OTP). Le OTP sono codici a 4-8 cifre ricevute tipicamente tramite e-mail, SMS o App mobile. Con le OTP viene generato un nuovo codice ogni volta che viene inoltrata una richiesta di autenticazione. Più in generale, i fattori multipli di autenticazione passano per tre caratteristiche legate all’utente:
- “una cosa che sa”, la conoscenza di qualcosa di noto all’utente, una password o un PIN;
- “una cosa che possiede”, ovvero il possesso dell’utente di un badge o uno smartphone o di un token fisico;
- “una cosa che è”, definita come inerenza, cioè una caratteristica fisica, un’impronta biometrica, il riconoscimento vocale, retinico ecc.
Al posto di una password o di un PIN, spesso difficili da ricordare, recentemente sono state introdotte le domande personali di sicurezza che rappresentano informazioni molto specifiche e note solo all’utente e, teoricamente, difficili da intercettare per i criminali. Purtroppo, grazie alla vita personale esposta in rete a mezzo social, gli hacker hanno affinato anche le modalità per acquisire la conoscenza di dati personali e di abitudini, profilando i propri obiettivi di attacco. In questi casi gli utenti diventano “prevedibili” nelle loro risposte alle domande di sicurezza.
Un’ulteriore peculiarità dei sistemi di Multi Factor Authentication riguarda l’introduzione di informazioni geo-referenziate da associare alle abitudini utente. Possono essere basate sulla posizione o sull’indirizzo IP di un utente. I dati possono essere utilizzati per bloccare semplicemente l’accesso di un utente se le informazioni della sua posizione non corrispondono a quanto specificato in una white list, o potrebbero essere impiegate come forma aggiuntiva di autenticazione, oltre ad altri fattori come una password o una OTP, per confermare l’identità di quell’utente.
I requisiti distintivi di una soluzione di Multi Factor Authentication
Nell’eterno inseguimento fra guardie e ladri a colpi di mezzi di difesa sempre più efficaci e di tecniche di attacco sempre più elaborate, vi sono caratteristiche considerate irrinunciabili per un sistema di Multi Factor Authentication.
La prima fra queste è quella di essere una soluzione che non richiede installazioni specifiche sugli endpoint o sui dispositivi per i quali garantisce la protezione di accesso. In questo senso le soluzioni in Cloud che sono serverless assolvono al requisito. L’altra caratteristica fondamentale è l’integrabilità rispetto a qualsiasi altro sistema che gestisca gli accessi mediante login e password, permettendo di dotare appunto di Multi Factor Authentication un sistema che ne era sprovvisto. Infine, è cruciale poter intervenire sulla granularità della configurazione di politiche di MFA, sia per scegliere le App e i metodi di autenticazione da applicare, sia per garantire soglie di sicurezza e protezione dalle minacce mediante forzatura dinamica dell’uso di Multi Factor Authentication in situazioni ad alto rischio.
In che modo la Multi Factor Authentication aiuta a prevenire le violazioni della sicurezza?
Una soluzione di Multi Factor Authentication (MFA), affiancata o nativamente integrata a una o più piattaforme di Identity and Access Management (IAM), supporta la prevenzione di alcuni dei più comuni e insidiosi attacchi informatici:
- Phishing;
- Spear phishing;
- Keyloggers;
- Credential stuffing;
- Attacchi a forza bruta o a forza bruta inversa;
- Attacchi Man-in-the-middle (MITM).
In tutte questi casi, il criminale tenta di sottrarre “user name” e “password” della vittima per poi usarli a suo vantaggio ai fini di frodi, furti di identità, sottrazione di dati da rivendere. Ma l’utilizzo dell’autenticazione forte mediante Multi Factor Authentication rende l’attacco molto più impegnativo e costoso per il criminale digitale. Per i furti di stampo classico il fattore tempo è determinante: maggiore sarà il tempo e i mezzi sofisticati richiesti al ladro per forzare una serratura, una porta o un sistema di allarme e maggiore sarà il rischio che il ladro possa essere scoperto e magari catturato. Nei crimini informatici vige la medesima regola e introdurre un sistema multi-fattore di sicurezza per l’autenticazione dell’utente (Multi Factor Authentication) rende “la vita difficile” al criminale digitale perché richiede maggiore investimento di tempo e di risorse (anche economiche) per violare l’articolato sistema di accesso, con il rischio per il criminale di lasciare delle tracce o di essere “beccato” durante l’azione criminosa.
Machine learning e MFA
Nei casi più evoluti di Multi Factor Authentication la scelta del doppio fattore può essere dinamicamente selezionata dal sistema stesso (secondo configurazioni preimpostate o mediante sistemi di machine learning) e proposta all’utente rispetto a dei parametri prefissati legati agli “scenari di sicurezza” che caratterizzano livelli bassi, medi o alti di affidabilità dell’intero contesto da proteggere. Nei casi di possibile compromissione, ovvero quando un sistema di Multi Factor Authentication riconosce condizioni di alta probabilità di violazione informatica nel sistema, potrebbe introdurre dinamicamente richieste di accesso multi fattore per ogni singola risorsa del sistema stesso, di fatto “ingessando” i tentativi del criminale di arrivare alle risorse a cui ambiva, fino a bloccare l’utenza in uso, richiedendo un tempo esagerato per la violazione e allo stesso tempo allertando i team di security che lo stato della sicurezza è stato alterato. Tutto ciò aumenta i rischi di permanenza in quel sistema e di fatto vanifica gli sforzi dell’attaccante, portandolo a desistere.
