Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

MFA, ovvero Multifactor Authentication: che cosa significa e quando è meglio utilizzarla

pittogramma Zerouno

SICUREZZA

MFA, ovvero Multifactor Authentication: che cosa significa e quando è meglio utilizzarla

05 Feb 2015

di redazione TechTarget da Digital4

Un sistema di autentificazione multipla per garantire la sicurezza aziendale. È costosa, non è sempre necessaria ma risulta strategica in un numero crescente di casi. Soprattutto quando si devono proteggere gli asset digitali dell’azienda e gli utenti che si rivolgono ai Web service, pubblici e privati

Si chiama MFA ed è l’acronimo di Multifactor Authentication. Sistema di autenticazione a più fattori, è uno dei meccanismi più efficaci con cui le aziende possono proteggere le proprie risorse digitali.

Quanto più le aziende migrano i propri server nel cloud, lavorano insieme a partner esterni oppure creano portali dedicati alla relazione con i propri clienti, tanto più un’autenticazione efficace ed efficiente diventa sempre più necessaria.

Perché c’è bisogno di un’autenticazione multipla
Le violazioni delle password, che oggi avvengono con una regolarità quasi allarmante, e la necessità di migliorare le pratiche di autenticazione sono due lati della stessa medaglia: la sicurezza digitale. L’utilizzo di una soluzione che utilizza  tecnologie di MFA aiuta ad arginare il problema del riutilizzo eccessivo delle password che la maggior parte degli utenti e dei dipendenti fa, ignorando le linee guida della sicurezza rispetto alle procedure di registrazione.

Prima di determinare quali siano le soluzioni di MFA più adatte per il business, gli esperti illustrano tre scenari in cui è il caso di utilizzare un sistema di autenticazione multipla. A seconda del tipo di infrastruttura IT utilizzata, infatti, un’organizzazione può avere bisogno di uno o più di questi metodi per proteggere i propri server, le proprie reti e i propri dati.


1) Scenario: l’identificazione nei negozi
La prima ragione per implementare una soluzione di autenticazione a più fattori riguarda la volontà di aumentare la sorveglianza del perimetro di uno o più negozi, in modo da riconoscere gli utenti e potenziare le credenziali di accesso. In questo scenario, la richiesta di identità va da un’Active Directory (AD) o da una VPN a un server equipaggiato dal sistema di identificazione multipla, in modo da procedere a una fase di autenticazione aggiuntiva prima che a un utente venga consentito l’accesso alla rete.

In realtà, i sistemi di autentificazione multipla sono nati proprio per questo tipo di utilizzo, ed è questo il motivo per cui quasi tutti i negozianti utilizzano questa modalità operativa.

Di conseguenza, quando capita che la password di un utente venga compromessa, il fattore aggiuntivo rappresenta una componente di sicurezza ulteriore che consente di stabilire o meno che chi che sta accendendo alla rete sia o meno la persona autorizzata. Se l’azienda ha sufficienti elementi per stabilire che le informazioni della directory siano esatte e che si tratti della stessa identità, l’aggiunta di strumenti di autenticazione a più livelli rappresenta una procedura indolore e, tutto sommato, poco impegnativa per garantire una maggiore sicurezza.

Inoltre, molte VPN sono dotate di un qualche tipo di supporto per i servizi di autentificazione multipla, in modo tale che il livello di integrazione non sia così destabilizzante per l’utente he si trova a doverlo utilizzare e l’azienda a gestire. Quindi, se le aziende si trovano bene a usare LDAP (Lightweight Directory Access Protocol – un protocollo software che consente di localizzare organizzazioni, individui e altre risorse come, ad esempio, file o dispositivi sulla rete, pubblica o provata che sia) o server Radius in negozio, non è difficile aggiungere ulteriori fattori di autenticazione.


2) Scenario: Web Services

Il secondo caso operativo in cui è opportuno utilizzare un’autenticazione multipla è quello in cui si debba accedere a una serie di servizi in Rete come, ad esempio, Google Docs o applicazioni in cloud come Salesforce. In questo scenario è necessario registrarsi, utilizzando il Security Assertion Markup Language (SAML) e verificare l’attendibilità tra l’applicazione e il server su cui gira lo strumento MFA per procedere poi alla fase di autenticazione aggiuntiva. Questo è il metodo con cui Google e Apple aggiungono un secondo fattore di autenticazione legato ai servizi correlati a Gmail e iTunes.

Se le imprese utilizzano una varietà di soluzioni in cloud come, ad esempio, il software as a service (SaaS) o altri servizi aziendali simili, i responsabili dovrebbero prendere in considerazione l’aggiunta di un’autenticazione a più fattori per proteggere meglio i dati delle applicazioni in cloud. Questi tipi di servizi, infatti, sono spesso presi di mira dagli hacker, che cercano di sottrarre le password: per questo è sempre meglio avere un piano di sicurezza ulteriore.

Questo metodo può essere utilizzato anche come sistema per rendere ancora più sicuri i login legati al movimento chiamato bring your own identity (BYOI), che utilizza il cloud in maniera federata per gestire le identità. La federazione si riferisce alla condivisione di un processo di autenticazione unica su più server e/o servizi.

Mentre il BYOI è una formula che semplifica agli utenti l’accesso a più siti web, al contempo, rende anche più vulnerabile l’identità nel caso qualcuno riesca a scardinare un login. Per arginare questa falla potenzialmente molto pericolosa, gli specialisti della sicurezza suggeriscono alle organizzazioni dei implementare strumenti MFA.

L’autentificazione multipla è importante anche nel caso vengano impiegati strumenti di tipo  single sign-on. Ad esempio, se un’azienda ha un portale con una serie di link a una lista di soluzioni SaaS e assume un nuovo impiegato, succede spesso che gli vengano date le credenziali per loggarsi in automatico. In questo caso, l’utente non conosce le passowrd e non ne ha nemmeno bisogno: è lo stesso strumento a creare una password complessa e unica che, in combinazione con un sistema di autentificazione multipla, rafforza ulteriormente il log in e di conseguenza la sicurezza.

Il vantaggio di questo metodo di autenticazione è che non deve toccare le applicazioni che risiedono sul cloud per migliorare la sicurezza di accesso. Lo svantaggio è che non tutti i Web Services provider supportano SAML o, almeno, non ancora. Nel frattempo, alcuni vendor richiedono l’acquisto separato di prodotti in grado di fornire autenticazioni SAML, il che conferma che si tratti di un campo ancora nuovo in cui i casi d’uso crescono di giorno in giorno.


3) Scenario: Web Services
Aggiungendo codice HTML, come SOAP, Perl o JavaScript, per le pagine di un server Web, l’autenticazione multipla può essere utilizzata per proteggere gli account di accesso allo stesso server. In pratica è il codice stesso che rende a fattore multiplo la connessione tra il server e i servizi del provider.

Questo può essere relativamente semplice da attivare, in particolare per le applicazioni on-premise. Gli utenti possono implementare l’MFA rapidamente in una pagina, a condizione di comprendere la natura e le implicazioni legate alla sicurezza del codice che stanno aggiungendo. La cosa, invece è quasi impossibile quando si utilizza un servizio gestito che non consente di toccare il codice.

Questo approccio può essere una valida alternativa nel caso in cui uno strumento di autentificazione multipla non supporti ancora i login SAML, o quando ci sono app personalizzate in cui basta scrivere poche righe di codice per rendere l’accesso più sicuro.


MFA: alcuni consigli per scegliere la soluzione più adatta alla propria azienda
Nel valutare i prodotti di autenticazione a più fattori bisogna considerare con attenzione come ognuno dei casi citati differisca l’uno dall’altro. Non tutti i vendor sono capaci di gestire tutti allo stesso modo entrambi gli scenari e questo è un primo criterio importante per selzionare un prodotto rispetto a un altro. Per fare chiarezza e procedere nella scelta, ecco una lista che aiuta a fare chiarezza:

  1. Se la propria rete aziendale non gestisce un grosso numero di informazioni private, probabilmente i metodi di autenticazione esistenti sono sufficienti.
  2. Le soluzioni MFA hanno dei costi di licenza, per cui bisogna verificare a quante persone arriveranno gli alert e la reportistica di dettaglio e questo, ovviamente, è indipendente dalle dimensioni aziendali.
  3. I sistemi MFA vanno introdotti in azienda a partire da una serie di utenti pilota, il che determina quali sono le applicazioni e i casi d’uso da proteggere con una procedura di autentificazione multipla.
  4. Può succedere che già alcuni dipendenti utilizzino strumenti di autenticazione a due fattori nell’erogazione di servizi per i consumatori ma, In caso contrario, le imprese dovrebbero iniziare a evangelizzare le proprie risorse sui rischi e sugli approcci più evoluti a un accesso protetto e sicuro almeno ai servizi in cloud più comuni, come Google, Facebook, Twitter e così via. Dopo tutto, l’autenticazione a più fattori è già integrata in questo genere di servizi, e non costerà nulla altro che una piccola attività di formazione.


Infine, prima di scegliere un fornitore di autenticazione a più fattori, le aziende devono considerare attentamente alcune criticità:

  1. Se una società non ha un Active Directory capace di agire secondo una modalità multifattoriale il passaggio non sarà affatto facile. Molto meglio allora concentrarsi a una razionalizzazione della directory, in modo da essere sicuri che prima di iniziare l’implementazione tutto sia corretto e conforme alle nuove procedure che is vogliono implementare.
  2. Se un’azienda utilizza per lo più ancora un server locale, sarebbe meglio partire con un rafforzamento delle politiche di password relative al mondo Windows Server. Questo consente di valutare la magnitudo degli utenti, ogniqualvolta questi si ritrovano a cambiare regolarmente le proprie password e a renderle più complesse.
  3. Se una società ha personale distribuito sul territorio, la formazione rispetto all’utilizzo di portachiavi fisici e sistemi di autenticazione multipla può essere difficile. Nel qual caso allora le aziende farebbero forse meglio ad affidarsi a un software token, ovvero un un dispositivo fisico che effettua un’autenticazione tipicamente a due fattori.


L’autenticazione a più fattori richiede chiaramente una certa attenzione e senza dubbio una grande capacità di pianificazione. Ci sono numerosi casi di utilizzo in cui questa tecnologia viene applicato in modi diversi per diverse infrastrutture IT. Capire come utilizzare un sistema di autenticazione a più fattori è comunque molto importante, prima di scegliere un qualunque provider.

redazione TechTarget da Digital4

Argomenti trattati

Approfondimenti

H
hacker

Articolo 1 di 5