L'autenticazione a più fattori (Multi-Factor Authentication, MFA) è un metodo di verifica dell'identità che richiede agli utenti di fornire almeno un fattore di autenticazione in aggiunta alla password oppure almeno due fattori di autenticazione invece di una password, per ottenere l'accesso a un sito web, un'applicazione o una rete.
Poiché la compromissione di più fattori di autenticazione richiede più impegno rispetto alla sola compromissione di una password e poiché altri tipi di fattori sono più difficoltosi da sottrarre o falsificare rispetto alle password, MFA protegge in modo più efficace un'organizzazione dagli accessi non autorizzati rispetto all'autenticazione a fattore singolo (nome utente e password).
L'MFA è diventata un componente essenziale delle strategie IAM (Identity and Access Management, gestione di identità e accessi) di molte organizzazioni. Spesso è un metodo di autenticazione obbligatorio o consigliato in molti settori d'industria e nelle agenzie governative. La maggior parte dei dipendenti o degli utenti di internet si è già imbattuta in un sottotipo di MFA, denominato autenticazione a due fattori (2FA, Two-Factor Authentication), che richiede agli utenti di fornire una password e un secondo fattore – solitamente un codice di accesso inviato a un telefono o a una email – per accedere ad un sistema o a un sito web. Ma chiunque abbia effettuato l'accesso a un bancomat utilizzando una carta di debito e un codice PIN (Personal Identification Number) ha utilizzato una forma di MFA.
L'MFA ostacola gli hacker su due livelli. In estrema sintesi, è più difficile violare due o più fattori rispetto a uno solo. Ma, in definitiva, la solidità di qualsiasi schema MFA dipende dai tipi di fattori di autenticazione che richiede agli utenti di fornire.
Fattori di conoscenza: qualcosa d cui l'utente è a conoscenza
I fattori di conoscenza sono frammenti di informazioni di cui, in linea teorica, solo l'utente è a conoscenza, ad esempio le password, i codici PIN e le risposte a domande di sicurezza. I fattori di conoscenza sono simultaneamente il tipo di fattore di autenticazione più diffuso e il più vulnerabile. Gli hacker possono ottenere le password e altri fattori di conoscenza tramite attacchi di phishing, installando programmi di registrazione delle sequenze di tasti premuti o spyware sui dispositivi degli utenti oppure eseguendo script o bot che generano e tentano password potenziali fino a quando non viene individuata quella funzionante.
Altri fattori di conoscenza non rappresentano una sfida particolarmente più ardua. Le risposte ad alcune domande di sicurezza possono essere scoperte da un hacker che conosce l'utente o che effettua ricerche tramite i social media. Altre possono essere relativamente facili da indovinare. Non c'è da sorprendersi nell'apprendere che le credenziali compromesse hanno rappresentato il vettore di attacco iniziale più sfruttato nel 2022, secondo lo studio Costo di una violazione dei dati di IBM.
Un malinteso comune è che richiedere due fattori di conoscenza, ad esempio una password e una risposta a una domanda di sicurezza, costituisca una forma di MFA. La richiesta di un secondo fattore di conoscenza rappresenta un incremento della sicurezza, ma una reale MFA richiede l'utilizzo di due o più tipi di fattori.
Fattori di possesso: qualcosa che l' utente ha a disposizione
I fattori di possesso sono oggetti fisici che gli utenti hanno con sé, ad esempio una chiave elettronica o una scheda di identificazione che consentono di sbloccare una serratura fisica, un dispositivo mobile con un'app di autenticazione installata o una smart card che contiene informazioni di autenticazione.
Molte implementazioni dell'MFA utilizzano un metodo denominato "phone-as-a-token," in cui il telefono cellulare dell'utente riceve o genera le informazioni di cui necessita per diventare un fattore di possesso. Come indicato in precedenza, l'MFA di norma invia una password monouso (OTP, One-Time Password) al telefono di una persona tramite messaggi di testo, email o telefonate. Ma le OTP possono anche essere generate da speciali app per dispositivi mobili denominate app di autenticazione. E alcuni sistemi di autenticazione inviano notifiche push che gli utenti possono semplicemente selezionare con un tocco per confermare la loro identità.
Altri sistemi di soluzioni di MFA utilizzano token fisici o chiavi di sicurezza hardware dedicate. Alcuni token fisici si collegano alla porta USB di un computer e trasmettono le informazioni di autenticazione alla pagina di accesso. Altri generano OTP che devono essere immesse dall'utente.
I fattori di possesso offrono diversi vantaggi rispetto ai fattori di conoscenza. Per poter impersonare un utente, i malintenzionati devono essere in possesso del fattore al momento dell'accesso. Poiché operano su una rete differente (SMS) rispetto all'applicazione (IP), un hacker dovrebbe poter intercettare due canali di comunicazione differenti per poter sottrarre le credenziali. Anche se un hacker potesse ottenere una OTP, dovrebbe poter ottenerla e utilizzarla prima della scadenza, e non potrebbe più usarla nuovamente.
Ma esistono dei rischi. Poiché si tratta di oggetti (e, solitamente, di oggetti piccoli), i token fisici possono essere rubati, perduti o dimenticati. Sebbene le OTP siano più complesse da sottrarre rispetto alle password tradizionali, sono comunque suscettibili ad attacchi di phishing o di tipo man-in-the-middle sofisticati, oppure alla clonazione delle schede SIM, in cui i malintenzionati creano un duplicato funzionante della SIM dello smartphone della vittima.
Fattori intrinseci: qualcosa che rende unico l'utente come individuo
Fattori intrinseci, detti anche biometrici, sono caratteristiche o tratti fisici che rendono unico l'utente. Le impronte digitali, la voce, le caratteristiche facciali o dell'iride o della retina di una persona sono esempi di fattori intrinseci. Oggi molti dispositivi mobili possono essere sbloccati mediante le impronte digitali o il riconoscimento facciale, alcuni computer possono utilizzare le impronte digitali per immettere le password nei siti web o nelle applicazioni.
I fattori intrinseci sono i più complessi da violare. Non possono essere dimenticati, persi o mal posizionati e sono estremamente difficili da replicare.
Ma questo non significa che siano impenetrabili. Se i fattori intrinseci sono memorizzati in un database, possono essere rubati. Ad esempio, nel 2019, è stato violato un database biometrico contenente 1 milione di impronte digitali degli utenti. In teoria, gli hacker sono stati in grado di rubare queste impronte digitali o di collegare le proprie al profilo di un altro utente nel database.
Quando i dati biometrici vengono compromessi, non possono essere modificati in modo rapido o semplice; ciò può rendere difficile per le vittime arrestare gli attacchi in corso.
Fattori comportamentali: qualcosa che l'utente fa
I fattori comportamentali sono risorse digitali che verificano l'identità di un utente in base a modelli comportamentali. Un intervallo di indirizzi IP o i dati di posizione da cui un utente normalmente accede a un'applicazione sono esempi di fattori comportamentali.
Le soluzioni di autenticazione comportamentale utilizzano l'intelligenza artificiale per determinare una baseline per i normali modelli comportamentali degli utenti, quindi segnalano le attività anomale, ad esempio l'accesso da un nuovo dispositivo, numero di telefono, browser Web o da una nuova posizione. Sono anche comunemente utilizzati negli schemi di autenticazione adattiva (indicata anche come autenticazione basata sul rischio), nei quali i requisiti di autenticazione vengono modificati quando cambiano i rischi, ad esempio quando un utente tenta di accedere da un dispositivo non attendibile, di accedere a un'applicazione per la prima volta o di accedere a dati particolarmente sensibili.
Sebbene i fattori comportamentali rappresentino un modo sofisticato per autenticare gli utenti, la loro implementazione richiede notevoli risorse e competenze. Inoltre, se un hacker ottiene l'accesso a un dispositivo attendibile, può utilizzarlo come fattore di autenticazione.
Poiché i fattori di conoscenza compromessi sono il vettore iniziale più comune nelle violazioni della sicurezza informatica, molte organizzazioni stanno sperimentando l'autenticazione senza password. L'autenticazione senza password si basa sul possesso e su fattori comportamentali intrinseci per verificare le identità. L'autenticazione senza password riduce il rischio di attacchi di phishing e di credential stuffing, in cui gli hacker utilizzano le credenziali rubate da un sistema per ottenere l'accesso a un altro.
Sebbene l'autenticazione senza password rimuova quello che è considerato l'anello debole della catena di verifica delle identità, è comunque suscettibile alle vulnerabilità dei fattori relativi al possesso, intrinseci e comportamentali. Le organizzazioni possono mitigare queste vulnerabilità implementando un approccio in cui gli utenti devono fornire più tipi di credenziali di autenticazione non legati al fattore della conoscenza. Ad esempio, richiedere a un utente un'impronta digitale e un token fisico costituirebbe una MFA senza password.
In risposta alla crescente ondata di attacchi informatici, i governi e le agenzie governative hanno iniziato a richiedere l'MFA per i sistemi che gestiscono dati sensibili. Nel 2020, l'IRS (Internal Revenue Service) ha reso obbligatoria l'MFA per i provider di sistemi di preparazione delle imposte online. Un ordine esecutivo del presidente Joseph Biden del 2021 relativo all'incremento della sicurezza informatica nazionale ha reso l'MFA un requisito per tutte le agenzie federali. Un successivo memorandum richiede che tutti i sistemi di sicurezza nazionale, del Dipartimento della difesa e della community di intelligence implementino l'MFA entro il 18 agosto 2022.
Una serie di normative del settore, tra cui il PCI-DSS (Payment Card Industry Data Security Standard), richiedono specificamente l'MFA per i sistemi che gestiscono i dati relativi alle carte di credito e ai pagamenti. Molte altre normative, tra cui SOX (Sarbanes-Oxley) e HIPAA, indicano l'MFA come un requisito essenziale per garantire la conformità. Alcuni regolamenti statali hanno reso obbligatoria l'MFA da diversi anni. Alle aziende che non hanno garantito la conformità alle imposizioni in materia di MFA della normativa per la sicurezza informatica del 2017 del NYDFS (New York Department of Financial Services), 23 NYCRR 500, sono state comminate sanzioni fino a 3 milioni di dollari (link esterno a ibm.com).
SSO (Single Sign-On) è un metodo di autenticazione che consente agli utenti di accedere a più applicazioni e servizi correlati tramite un'unica serie di credenziali di accesso. L'utente esegue l'accesso una sola volta e la soluzione SSO autentica la sua identità e genera un token di autenticazione per la sessione. Questo token funge da chiave di sicurezza dell'utente per vari database e applicazioni interconnessi.
Per ridurre il rischio di fare affidamento su un'unica serie di credenziali di accesso per più applicazioni, generalmente le organizzazioni richiedono l'autenticazione adattiva per SSO. L'SSO adattivo applica la funzionalità dell'autenticazione adattiva agli schemi SSO. Se un utente si comporta in modo anomalo quando tenta di accedere tramite SSO o durante la sua sessione autenticata tramite SSO, riceverà la richiesta di fornire ulteriori fattori di autenticazione. Esempi di comportamenti anomali includono la connessione tramite una VPN non riconosciuta o l'accesso ad applicazioni o dati non coperti dal token di autenticazione della sessione dell'utente.
Le architetture di sicurezza informatica Zero trust, in cui l'identità di un utente non è mai ritenuta attendibile e viene sempre verificata, spesso utilizzano una combinazione di SSO adattivo e MFA a scopi di autenticazione. Verificando costantemente l'identità dell'utente per tutta la durata della sessione e richiedendo ulteriori fattori di autenticazione in base al rischio, l'SSO adattivo e l'MFA rafforzano la gestione degli accessi senza influenzare l'esperienza utente.
Connetti ogni utente al giusto livello di accesso con la soluzione IAM IBM Security® Verify.
Centralizza il controllo degli accessi per le applicazioni cloud e on-premise.
Supera l'autenticazione di base con opzioni per l'autenticazione senza password o a più fattori.
Proteggi utenti e asset con l'autenticazione basata sul rischi, assistita dall'AI, con IBM Security Verify.
Integra IAM su cloud con un contesto approfondito per l'autenticazione basata sul rischio per consentire un accesso sicuro e senza problemi.
Integra la fiducia nel rilevamento di rischi ai sistemi IAM per fornire un processo di autenticazione più intelligente con il software IBM Security Verify Trust.
Scopri le soluzioni di sicurezza personalizzate per ogni utente, ogni dispositivo e ogni connessione.
Ottieni visibilità, gestione e sicurezza per endpoint ed utenti
Comprendi il tuo scenario di sicurezza informatica e assegna una priorità alle iniziative insieme ad architetti e consulenti senior di sicurezza IBM in una sessione gratuita di design thinking, in modalità virtuale o di persona, della durata di 3 ore.
Scopri perché IAM è un componente fondamentale del tuo programma di sicurezza per proteggere i dati tramite il controllo dell'accesso alla rete aziendale.
Scopri come l'MDM è in grado di fornire applicazioni e strumenti produttivi per i dispositivi mobili proteggendo al tempo stesso i dati aziendali.
Scopri perché le minacce interne sono pericolose, i tipi di minaccia interna, gli indicatori, i modi per mitigarle e le soluzioni di IBM.
Scopri perché sicurezza dei dati è più importante che mai. Scopri i tipi di sicurezza dei dati, le strategie, le tendenze e le soluzioni per la sicurezza dei dati di IBM.
Comprendi i rischi di attacco informatico con una visione globale del panorama delle minacce.