Ogni giorno, le aziende sono vittime di un attacco ransomware o subiscono una violazione della loro sicurezza. Questi incidenti non solo danneggiano la reputazione di queste organizzazioni, ma i cyberattacchi possono anche causare un’interruzione dell’attività, portare a multe normative e semplicemente distrarre le aziende dal loro core business. La maggior parte di questi attacchi di account takeover (ATO) viene avviata rubando le credenziali di accesso tramite phishing, database del dark web o social engineering. Questi attacchi possono essere facilmente evitati applicando la Secure Customer Authentication (SCA). In questo articolo spiegheremo cos’è l’autenticazione a due fattori, come funziona e come si può implementare. E faremo un confronto tra 2FA e SCA.
Che cos’è l’autenticazione a due fattori?
L’autenticazione a due fattori (2FA) è una misura di sicurezza che fornisce un ulteriore livello di protezione per gli account online e le informazioni sensibili. Comporta l’uso di due fattori diversi per verificare l’identità di un utente. In genere, il primo fattore è qualcosa che l’utente conosce o è, come una password o un PIN (che l’utente conosce) o un’impronta digitale o un face ID (che l’utente è). Il secondo fattore è qualcosa che l’utente possiede, come un dispositivo mobile o un token di sicurezza, che genera una One-Time Password (OTP). Per autenticarsi, l’utente deve fornire entrambi i fattori, aggiungendo un ulteriore ostacolo all’accesso non autorizzato. L’autenticazione a due fattori migliora significativamente la sicurezza imponendo agli utenti di inserire entrambi gli elementi di sicurezza, attenuando i rischi associati alla violazione delle password e rendendo più difficile per i malintenzionati l’accesso non autorizzato a dati personali o sensibili. Di conseguenza, gli account con password trovate nel dark web non possono più essere utilizzati.
Perché abbiamo bisogno di un ulteriore livello di sicurezza per l’autenticazione degli utenti?
La criminalità informatica si evolve continuamente e diventa sempre più sofisticata, così come le conseguenze degli attacchi informatici. Un recente rapporto ha rilevato che “il costo delle violazioni dei dati per le aziende è aumentato costantemente, poiché i cambiamenti sul posto di lavoro e i metodi di penetrazione più avanzati incoraggiano i criminali informatici. Nel 2022, le violazioni di dati costeranno alle aziende in media 4,35 milioni di dollari, contro i 4,24 milioni del 2021”.
Pertanto, anche i metodi volti a impedire ai criminali informatici di rubare e/o compromettere denaro e dati devono evolversi. Una volta, una semplice password era sufficiente per proteggere efficacemente un conto online. Oggi non è più così. Avrete notato che anche gli account che utilizzano l’autenticazione a fattore singolo (SFA) richiedono che le password contengano un numero minimo di lettere, numeri e caratteri. E se non fanno nemmeno questo, statene alla larga!
Spesso si suggerisce agli utenti di utilizzare gestori di password, in grado di generare e memorizzare password complesse per gli utenti. Sebbene tali strumenti siano comodi per gli utenti, questi ultimi continuano a utilizzare l’SFA con tutti i suoi flussi nei loro meccanismi di login. Inoltre, questi gestori di password diventano honeypots per gli hacker e sono stati violati più volte in passato.
Poiché oggi è molto più facile per i criminali informatici accedere alle password, ha senso richiedere un secondo modo per verificare che la persona con la password sia davvero chi dice di essere. Il 2FA richiede effettivamente una seconda password creata in modo casuale, una One-time password (OTP) per rafforzare la sicurezza di un account.
Come funziona la 2FA?
L’autenticazione a due fattori utilizza una combinazione di due identificatori. Il primo fattore può essere una password, un PIN o un elemento biometrico come l’impronta digitale del dispositivo mobile. Il secondo fattore è una password valida per un periodo di tempo limitato e utilizzabile una sola volta (da qui OTP o One-Time Password). Questa OTP viene creata a partire da un segreto univoco, legato all’utente, e da un evento dinamico come l’ora (TOTP) o un numero (hashed) (HOTP). Sia il server che il client dispongono di queste informazioni e utilizzano un algoritmo per generare un numero che viene inserito nel campo OTP . (Se il numero generato dal server e quello inserito dall’utente coincidono, l’accesso è consentito. Esistono vari modi in cui il secondo fattore può essere fornito all’utente finale, alcuni più sicuri di altri.
Quali fattori possono essere utilizzati per la 2FA?
- SMS o e-mail OTP: l’utilizzo del telefono cellulare come secondo fattore presenta alcuni vantaggi, come una maggiore portabilità e mobilità. I dispositivi mobili sono altamente portatili e vengono portati dagli utenti quasi ovunque. Questa portabilità li rende una piattaforma conveniente per l’implementazione della 2FA. Gli utenti possono accedere ai propri account e completare il processo di autenticazione praticamente da qualsiasi luogo, aggiungendo un ulteriore livello di sicurezza anche quando si utilizzano reti o dispositivi non affidabili. Il primo fattore può essere il PIN del telefono stesso, anche se questo non è consigliabile poiché il servizio non può controllare se l’utente utilizza un PIN sul proprio telefono e a volte l’SMS può essere leggibile dalla schermata iniziale. Il secondo Fattore (la One-Time Password) viene generato dal server e poi inviato a un telefono o a un indirizzo e-mail dell’utente. Il codice deve poi essere inserito manualmente dall’utente. Il loro uso sta diventando meno popolare, poiché questi vettori (SMS o e-mail) sono relativamente facili da hackerare tramite SIM Swapping o intercettazione dei messaggi non criptati e i ritardi nella consegna ostacolano l’esperienza dell’utente. Per quanto riguarda gli SMS, il costo del loro continuo invio è del tutto imprevedibile.
- OTP vocali e richiamate telefoniche: si tratta di richiamate telefoniche automatizzate. L’utente riceve una telefonata automatica quando tenta di accedere. In questo modo viene chiesto all’utente di approvare o negare il tentativo di accesso o di fornire un codice di accesso unico da inserire. I problemi di questo metodo sono simili a quelli degli SMS OTP, e con l’aumento dell’ingegneria sociale questi metodi aprono ulteriori possibilità agli hacker.
- App/token software di autenticazione: gli utenti possono scaricare e utilizzare app di autenticazione dedicate per le richieste di approvazione del login. L’utente deve quindi collegare l’app autenticatore all’applicazione (di solito scansionando un codice QR), il che comporta la creazione di un segreto univoco che viene condiviso tra l’utente e il server. Presenta tutti i vantaggi degli SMS OTP, ma il OTP è generato sul lato client, quindi è più affidabile degli SMS. L’applicazione stessa può essere protetta da un PIN o con la biometria del dispositivo, rendendo più comoda la ricezione di OTP. Questo metodo sta diventando sempre più popolare grazie al basso costo per i fornitori di applicazioni (rispetto agli SMS OTP ), ma a volte è fastidioso per gli utenti trovare il servizio corretto all’interno dell’applicazione autenticatore, soprattutto se si hanno più account protetti. Anche il trasferimento e il recupero possono essere macchinosi, poiché è meglio non memorizzare i segreti su un’altra piattaforma. Gli hacker sfruttano questa scappatoia e sono in aumento le applicazioni di autenticazione dannose che cercano di adescare e rubare le credenziali degli utenti e i codici segreti necessari per generare gli OTP. Grazie alla crittografia simmetrica, questi possono essere facilmente copiati e utilizzati, senza che l’utente se ne accorga.
- Token hardware: comprendono oggetti come portachiavi o dispositivi USB che generano OTP. Si tratta di un modo più sicuro di generare OTP, poiché il segreto sul lato client si trova all’interno di un elemento di sicurezza protetto. Sfortunatamente, i token possono ovviamente essere persi, dimenticati, rotti, esauriti e così via. Possono essere frustranti per l’utente e costosi da produrre e sostituire per l’azienda.
Implementare il 2FA per una maggiore sicurezza
L’autenticazione a due fattori può essere utilizzata in combinazioni adatte alla situazione, all’azienda, all’utente e così via. Ciò che potrebbe essere l’opzione migliore per un sistema potrebbe non funzionare bene per un altro, quindi l’implementazione della 2FA dovrebbe essere affrontata caso per caso. Alcune aziende preferiscono fornire le proprie applicazioni per l’autenticazione, mentre per altre è meglio ricorrere a soluzioni di terze parti.
È necessario considerare l’esperienza dell’utente: opzioni troppo lunghe o complicate causano frustrazione e allontanano gli utenti. Nessuno vuole che dipendenti o potenziali clienti sovraccarichi di lavoro abbandonino i tentativi di accesso a favore di concorrenti con processi più semplici.
D’altra parte, un sistema di sicurezza solido e relativamente semplice da navigare rassicurerà gli utenti sul fatto che i loro dati sono in mani sicure e contribuirà a creare una maggiore fedeltà al marchio o all’azienda.
L’autenticazione a due fattori aiuta gli utenti a controllare meglio la sicurezza del proprio account.
Gli hacker di solito si dedicano ai frutti più facili da cogliere. L’aggiunta di un secondo fattore, che cambia dinamicamente, richiede tecniche di hacking più costose. Gli account che hanno questo fattore sono meno soggetti ad attacchi. Tuttavia, se il valore dell’obiettivo aumenta (ad esempio, se l’utente lavora per un’azienda interessante, se il servizio ha un valore monetario o se la vittima è abbastanza ricca da rendere vantaggiosa un’estorsione tramite ransomware o ricatto), gli hacker compiranno ulteriori sforzi nei loro tentativi affidandosi al phishing o all’ingegneria sociale. In questo caso, cercheranno di attirare l’obiettivo per fargli fornire il sito OTP che il secondo fattore genera. Di solito gli permettono di inserire la One-Time Password in un sito web falso o di comunicarla a un falso agente dell’help desk, in modo che l’hacker possa utilizzarla nel sito web reale.
Per evitare ciò, sono state sviluppate tecniche avanzate che hanno portato all’autenticazione a più fattori (MFA).
2FA è buono, ma MFA è meglio
Sebbene la 2FA sia già un buon passo avanti per proteggere gli utenti che vogliono accedere ad applicazioni o dati, non è ancora una soluzione sicura. Noi di TrustBuilder consigliamo di utilizzare l’autenticazione multifattoriale (MFA) (chiamata anche SCA Secure Customer Authentication negli scenari consumer) per i seguenti motivi:
- Sicurezza potenziata: MFA aggiunge ulteriori livelli di sicurezza rispetto alla 2FA. Mentre il 2FA si basa su due fattori (di solito una password e un codice di verifica), MFA può incorporare fattori aggiuntivi quali
- comportamento (da dove si accede di solito, come si digita, come si tiene il dispositivo…)
- Device binding con chiavi asimmetriche (per garantire che il segreto sia legato a un determinato dispositivo e possa essere utilizzato solo su quello specifico dispositivo)
- Comunicazione criptata fuori banda
- Challenge/Response con codici QR che aggiungono un elemento aggiuntivo al segreto usato per generare OTP in modo che in OTP il server sappia che la richiesta originale proviene da questo server.
- Continuous Adaptive Trust (CAT) valuta continuamente il rischio di violazione di una sessione e valuta in modo adattivo la connessione…
- Notifiche push: un tentativo di accesso porterà a un messaggio automatico, ad esempio per avvisare il titolare del conto. Questo può essere impostato per ogni tentativo di accesso o solo quando viene rilevata un’attività insolita. Può richiedere o meno all’utente di fare qualcosa. Può contenere informazioni aggiuntive sulla transazione, in modo che l’utente sia informato di ciò che sta facendo e da quale dispositivo. Questo metodo (What You See Is What You Sign o WYSIWYS) rende l’utente consapevole del processo ed è una buona contromisura contro gli attacchi Man-In-the-Middle (MITM) o Man-In-the-Browser (MITB), in cui gli hacker utilizzano l’ingegneria sociale, il phishing e gli attacchi DNS relay per cercare di convincere l’utente che sta entrando nel sito web reale invece che in uno falso.
- Maggiore resilienza agli attacchi: MFA attenua i rischi associati a vari tipi di attacchi, tra cui phishing, keylogging e credential stuffing. Anche se un aggressore riuscisse a ottenere la password di un utente attraverso uno di questi metodi, non potrebbe comunque ottenere l’accesso senza il fattore aggiuntivo richiesto da MFA. Ciò rende molto più difficile per gli aggressori compromettere gli account o i sistemi.
- Comodità per l’utente: Una volta completata l’impostazione iniziale, i fattori aggiuntivi utilizzati in MFA sono automatizzati o perfettamente integrati nel processo di autenticazione. Una buona soluzione MFA valuta automaticamente i rischi di una connessione e limita il numero di interazioni che l’utente deve effettuare. Ciò riduce l’onere di inserire continuamente codici di verifica, rendendo l’esperienza complessiva dell’utente più fluida ed efficiente.
- Conformità alle normative: MFA è spesso un requisito per la conformità alle varie normative di settore e agli standard di protezione dei dati. Le organizzazioni che gestiscono dati sensibili, come le istituzioni finanziarie o i fornitori di servizi sanitari, sono in genere tenute a implementare forti misure di sicurezza. MFA offre un meccanismo solido per soddisfare questi requisiti di conformità e aiuta a salvaguardare le informazioni sensibili da accessi non autorizzati.
- Sicurezza a prova di futuro: Con il progredire della tecnologia, emergono nuove vulnerabilità e vettori di attacco. MFA offre migliori capacità di protezione dal futuro rispetto al 2FA. La possibilità di incorporare più fattori di autenticazione consente alle organizzazioni di adattarsi all’evoluzione delle minacce e di utilizzare metodi di autenticazione più sicuri man mano che si rendono disponibili. Ciò garantisce che le misure di sicurezza rimangano efficaci e aggiornate, anche quando il panorama delle minacce continua a evolversi.
Queste ragioni evidenziano complessivamente i vantaggi di MFA rispetto al 2FA, sottolineandone la maggiore sicurezza, la resilienza agli attacchi, la comodità per l’utente, la conformità alle normative e la capacità di adattarsi alle future esigenze di sicurezza.
Perché utilizzare la soluzione MFA di TrustBuilder?
Se si confronta il 2FA con MFA, è chiaro che MFA ha la meglio sul 2FA. Tuttavia, nel campo delle soluzioni di autenticazione multifattoriale, esistono molte differenze tra le soluzioni disponibili. Tra i numerosi fornitori presenti sul mercato, la soluzione MFA di TrustBuilder emerge come una scelta di spicco per le organizzazioni che intendono rafforzare la propria sicurezza. Ecco alcuni dei motivi per cui la soluzione MFA di TrustBuilder è l’opzione migliore per le organizzazioni per proteggersi dagli hacker e dai cyberattacchi.
- Sicurezza senza pari: La soluzione MFA di TrustBuilder offre un meccanismo di autenticazione altamente sicuro che va oltre le tradizionali combinazioni nome utente-password. Incorporando più fattori, come password una tantum, biometria, smartcard e altro, garantisce un ulteriore livello di protezione. Questo approccio multiforme riduce significativamente il rischio di accesso non autorizzato e rafforza la sicurezza generale delle organizzazioni.
- Esperienza utente senza soluzione di continuità: Se da un lato la sicurezza è fondamentale, dall’altro un’esperienza utente senza soluzione di continuità è essenziale per il successo dell’adozione di qualsiasi soluzione di sicurezza. TrustBuilder comprende questa esigenza e fornisce una soluzione MFA che offre convenienza senza compromettere la sicurezza. Grazie a un’interfaccia facile da usare e al supporto di vari metodi di autenticazione, tra cui app mobili, autenticazione via browser, app desktop, nonché al supporto di metodi di autenticazione di terze parti, che consentono di portare il proprio autenticatore (BYOA), TrustBuilder garantisce un’esperienza di autenticazione senza attriti per gli utenti finali.
- Scalabilità e flessibilità: La soluzione MFA di TrustBuilder è progettata per soddisfare le esigenze in evoluzione di organizzazioni di tutte le dimensioni. Che si tratti di una piccola startup o di una multinazionale, TrustBuilder è in grado di scalare per adattarsi alla crescita degli utenti e all’espansione delle infrastrutture. La soluzione si integra perfettamente con i sistemi esistenti, compresi i servizi cloud e le applicazioni legacy, rendendola altamente adattabile e compatibile.
- Analisi avanzate e autenticazione basata sul rischio: La soluzione MFA di TrustBuilder incorpora analisi avanzate e autenticazione basata sul rischio, consentendo alle organizzazioni di regolare dinamicamente i requisiti di autenticazione in base ai livelli di rischio. Analizzando fattori contestuali come la posizione dell’utente, le informazioni sul dispositivo e i modelli di comportamento, la soluzione di TrustBuilder consente alle organizzazioni di rilevare e prevenire potenziali minacce in modo proattivo, mitigando efficacemente i rischi associati ai cyberattacchi.
Mantenere l’organizzazione dalla parte giusta della sicurezza è il compito di chiunque sia coinvolto nella prevenzione degli attacchi informatici. La soluzione MFA di TrustBuilder è un buon modo per creare recinzioni che tengano lontani i criminali informatici.
Fonte: https://www.trustbuilder.com/it/what-is-secure-customer-authentication
