Nell’era digitale in cui viviamo, la sicurezza delle informazioni personali e dei dati sensibili è diventata una delle principali preoccupazioni. Con il continuo aumento degli attacchi informatici e delle violazioni dei dati, è diventato indispensabile utilizzare metodi di autenticazione sempre più sicuri. Una delle soluzioni più efficaci è la Multi Factor Authentication (MFA), ovvero un sistema di autenticazione che richiede l’utilizzo di almeno due fattori distinti per verificare l’identità dell’utente. In questo articolo, esploreremo i diversi tipi di fattori di autenticazione e i vantaggi che l’utilizzo della MFA può offrire per proteggere i nostri account online.
Cos’è la Multi Factor Authentication?
Una tecnologia di sicurezza che aggiunge un ulteriore livello di protezione ai metodi tradizionali di autenticazione basati sulla sola password. In un sistema MFA, l’utente deve fornire almeno due o più fattori di autenticazione.
Ciò richiede, in genere, una combinazione di qualcosa che l’utente conosce (pin, domanda segreta), qualcosa che egli possiede (carta, token) o qualcosa che lo identifica in maniera univoca (impronta digitale, riconoscimento del volto).
L’utilizzo della MFA può fornire numerosi vantaggi rispetto ai metodi di autenticazione tradizionali. Innanzitutto, rende molto più difficile per gli hacker violare i sistemi di sicurezza e accedere ai dati sensibili dell’utente. Inoltre, la MFA può aiutare a ridurre il rischio di furto di identità, phishing e altre attività fraudolente.
La MFA viene spesso utilizzata in ambito aziendale, in cui la protezione dei dati sensibili e la sicurezza degli account sono di fondamentale importanza. Tuttavia, sempre più utenti stanno adottando la MFA a livello individuale, per proteggere i propri account online, come quelli per l’e-commerce o i social media.
Diamo i numeri
Il 95% di tutti gli attacchi a siti e servizi web sono causati dal furto di credenziali. Nel corso del 2020, sono state bloccate oltre 13 miliardi di e-mail sospette, di cui 1 miliardo era finalizzato al furto di credenziali, il che ha portato al compromesso di oltre 8,5 miliardi di file. Si è riscontrato un aumento del 200% delle violazioni rispetto agli anni precedenti. Tuttavia, secondo i report più recenti, le violazioni dei dati dei dipendenti rappresentano il problema più grave e l’80% di questi attacchi ha portato all’esposizione di informazioni personali dei clienti, causando costi ingenti per le aziende italiane colpite, con una media di 2,90 milioni di euro per violazione di sicurezza.
E’ chiaro, allora, che l’utilizzo della sola password, inventata nel 1964 dal fisico Fernando Corbató, non può più proteggere nell’era del phishing, keylogging o pharming.
Più di qualcuno lo ha capito, tant’è che il valore del mercato MFA nel 2020 è stato stimato in 11 miliardi di euro e si prevede che raggiungerà i 28 miliardi entro il 2026, con un tasso di crescita annuale del 18%.
I sistemi MFA più diffusi
Non tutte le soluzioni MFA sono uguali e, alcuni metodi, sono più vulnerabili agli attacchi informatici rispetto ad altri. Inoltre, ciascuno può avere preferenze diverse in base alle proprie esigenze e al livello di familiarità con la tecnologia.
L’opzione MFA più comune al giorno d’oggi è l’autenticazione tramite SMS, che prevede l’invio di una password monouso (solitamente sotto forma di codice numerico) al telefono dell’utente. Tuttavia, nonostante la sua popolarità e la relativa semplicità d’uso, questo metodo è soggetto a diverse vulnerabilità.
In particolare, la password o il codice inviato tramite SMS possono essere violati da app dannose presenti sul telefono o reindirizzati a un altro dispositivo. Inoltre, questo metodo risulta inefficace nel caso in cui lo smartphone dell’utente non abbia accesso alla rete o sia completamente spento.
Un’altra opzione MFA è rappresentata dalle app mobile, che funzionano in modo simile ai metodi basati sull’utilizzo di un autenticatore, con la differenza che all’utente viene inviata una richiesta di verifica invece di una password monouso.
In questo caso, tuttavia, il dispositivo dell’utente deve essere sempre acceso e connesso a Internet, al fine di ricevere le richieste di verifica. Questa dipendenza rende il metodo meno affidabile in caso di problemi di rete.
Il metodo MFA più sicuro è rappresentato dall’utilizzo di una chiave di sicurezza fisica. In questo caso, si utilizza una chiave hardware (come YubiKey, VeriMark o Feitian) che deve essere fisicamente collegata al dispositivo dell’utente per verificare la sua identità.
Molti di questi dispositivi assomigliano a delle chiavette USB e rappresentano il metodo leader supportato da numerose aziende, tra cui Google, Amazon e Microsoft, così come da agenzie governative in tutto il mondo. La loro sicurezza è data dalla natura fisica del dispositivo, che rende estremamente difficile per gli hacker compromettere il sistema di autenticazione.
Ne abbiamo sentito parlare, ma cos’è FIDO?
Uno standard di autenticazione open source, creato inizialmente da Google e da Yubico e successivamente confluito nella FIDO (Fast IDentity Online) Alliance.
Costituisce il sistema di autenticazione più adottato dai diversi marchi di mercato ed è sviluppato per aumentare la sicurezza delle transazioni online, semplificando al contempo l’esperienza dell’utente.
FIDO sta rapidamente diventando lo standard del futuro per l’autenticazione online, poiché è già supportato dai principali browser, tra cui Chrome, Firefox ed Opera. Inoltre, il sistema FIDO è conforme ai livelli crittografici più elevati, tra cui la FIPS 140-2 ed il livello 3 di autenticazione (AAL3) indicato nelle linee guida NIST SP800-63B.
FIDO garantisce anche la conformità alla direttiva europea PSD2 per quanto riguarda la Strong Customer Authentication (SCA). Grazie a queste caratteristiche, FIDO sta guadagnando rapidamente popolarità tra le aziende che cercano di migliorare la sicurezza delle transazioni online e garantire la conformità alle normative vigenti.
FIDO è progettato per essere interoperabile, ovvero può funzionare con diversi tipi di dispositivi e applicazioni, senza richiedere l’installazione di software o driver specifici. Inoltre, FIDO può supportare diversi metodi di autenticazione, come la scansione dell’impronta digitale, il riconoscimento vocale e la scansione dell’iride, oltre alla tradizionale autenticazione tramite password.
Questione di preferenze
I metodi di autenticazione a più fattori differiscono non solo in termini di sicurezza, ma anche in termini di popolarità. Questo si traduce in una discrepanza tra il metodo MFA più affidabile, ovvero quello basato sulla chiave di sicurezza fisica, e quello effettivamente più utilizzato, ovvero quello basato sull’invio di password monouso tramite SMS.
Le preferenze degli utenti sono influenzate dalle esigenze di sicurezza, ma anche dall’usabilità dei metodi di autenticazione a più fattori. La maggior parte degli utenti tende a privilegiare la semplicità del processo di autenticazione, il che spiega perché le soluzioni basate su SMS continuano a dominare il panorama, nonostante la disponibilità di alternative più sicure.
Statistiche indicano che la maggior parte degli utenti ha giudicato le chiavi di sicurezza fisiche come efficaci e intuitive da utilizzare. Tuttavia, la mancanza di supporto di alcune piattaforme e di istruzioni di installazione chiare, ha generato l’opinione che queste chiavi siano complesse e difficili da installare e utilizzare, limitando la loro adozione.
Ciascun utente o organizzazione ha esigenze diverse, perciò in alcuni casi potrebbe essere più appropriata una combinazione di metodi. Ad esempio, una soluzione basata su SMS potrebbe essere utilizzata in combinazione con una chiave di sicurezza fisica per l’accesso ai sistemi di infrastrutture critiche che richiedono livelli di sicurezza maggiori.
Inoltre, è fondamentale educare e sensibilizzare gli utenti sull’importanza dell’MFA e sui metodi più sicuri disponibili. Molte persone non conoscono dettagli relativi alla MFA e non distinguono i metodi più sicuri.
Il machine learning nella MFA
Nei sistemi di Multi Factor Authentication più avanzati, il sistema stesso può selezionare dinamicamente la modalità di autenticazione a doppio fattore in base a configurazioni preimpostate, proponendo all’utente scelte prefissate che caratterizzano livelli di affidabilità bassi, medi o alti del contesto da proteggere. In caso di possibile compromissione, il sistema può introdurre richieste di accesso multi-fattore per ogni singola risorsa, bloccando l’utenza in uso e allertando i team di sicurezza. Ciò aumenta i rischi di permanenza nel sistema per l’attaccante e vanifica i suoi sforzi, portandolo a desistere.
L’importanza della MFA per la conformità normativa
Il PCI-DSS (Payment Card Industry Data Security Standard) e altre normative del settore richiedono l’implementazione dell’Autenticazione Multi-Fattore per i sistemi che gestiscono i dati relativi alle carte di credito e ai pagamenti. Inoltre, altre normative importanti come SOX (Sarbanes-Oxley) e HIPAA, richiedono l’MFA come requisito essenziale per garantire la conformità. Alcuni regolamenti statali hanno imposto l’obbligo dell’MFA già da diversi anni.
In Europa, la direttiva sui servizi di pagamento 2015/2366/UE nota come PSD2, approvata a novembre 2015 ed entrata in vigore il 13 gennaio 2016, implica la Strong Customer Authentication (SCA), obbligando i consumatori europei ad utilizzare l’autenticazione a due fattori, allo scopo di ridurre al minimo il rischio di transazioni fraudolente e rendere i pagamenti online più sicuri.
Parola d’ordine: consapevolezza
L’Autenticazione Multi Fattore è diventata uno strumento fondamentale per proteggere i dati sensibili in un mondo sempre più connesso e soggetto a rischi informatici sempre più sofisticati.
Nonostante i sistemi di autenticazione siano generalmente considerati sicuri, essi possono presentare punti deboli che potrebbero essere sfruttati per aggirare le difese. Pertanto, è importante che, anche gli utenti più consapevoli, non sottovalutino i rischi e non abbassino la guardia, continuando ad applicare la dovuta attenzione e controllo per proteggersi da eventuali attacchi informatici.