SICUREZZA

MFA, ovvero Multifactor Authentication: che cosa significa e quando è meglio utilizzarla

Un sistema di autentificazione multipla per garantire la sicurezza aziendale. È costosa, non è sempre necessaria ma risulta strategica in un numero crescente di casi. Soprattutto quando si devono proteggere gli asset digitali dell’azienda e gli utenti che si rivolgono ai Web service, pubblici e privati

Pubblicato il 05 Feb 2015

multifactor-authentication-mfa-150104005818

Si chiama MFA ed è l’acronimo di Multifactor Authentication. Sistema di autenticazione a più fattori, è uno dei meccanismi più efficaci con cui le aziende possono proteggere le proprie risorse digitali.

Quanto più le aziende migrano i propri server nel cloud, lavorano insieme a partner esterni oppure creano portali dedicati alla relazione con i propri clienti, tanto più un’autenticazione efficace ed efficiente diventa sempre più necessaria.

MFA: ecco perché c’è bisogno di un’autenticazione multipla

Le violazioni delle password, che oggi avvengono con una regolarità quasi allarmante, e la necessità di migliorare le pratiche di autenticazione sono due lati della stessa medaglia: la sicurezza digitale.

L’utilizzo di una soluzione che utilizza tecnologie di MFA aiuta ad arginare il problema del riutilizzo eccessivo delle password. Fenomeno che avviene per la maggior parte degli utenti e dei dipendenti, ignorando le linee guida della sicurezza rispetto alle procedure di registrazione.

Prima di determinare quali siano le soluzioni di MFA più adatte per il business, gli esperti illustrano tre scenari in cui è il caso di utilizzare un sistema di autenticazione multipla.

A seconda del tipo di infrastruttura IT utilizzata, infatti, un’organizzazione può avere bisogno di uno o più di questi metodi per proteggere i propri server, le proprie reti e i propri dati.

L’identificazione nei negozi

La prima ragione per implementare una soluzione di autenticazione a più fattori riguarda la volontà di aumentare la sorveglianza del perimetro di uno o più negozi, in modo da riconoscere gli utenti e potenziare le credenziali di accesso.

In questo scenario, la richiesta di identità va da un’Active Directory (AD) o da una VPN a un server equipaggiato dal sistema di identificazione multipla. Questo per procedere a una fase di autenticazione aggiuntiva prima che a un utente venga consentito l’accesso alla rete.

In realtà, i sistemi di autentificazione multipla sono nati proprio per questo tipo di utilizzo. Ed è questo il motivo per cui quasi tutti i negozianti utilizzano questa modalità operativa.

Di conseguenza, quando capita che la password di un utente venga compromessa, il fattore aggiuntivo rappresenta una componente di sicurezza ulteriore. Un elemento che consente di stabilire o meno che chi che sta accendendo alla rete sia o meno la persona autorizzata.

Se l’azienda ha sufficienti elementi per stabilire che le informazioni della directory siano esatte e che si tratti della stessa identità, l’aggiunta di strumenti di autenticazione a più livelli rappresenta una procedura indolore e, tutto sommato, poco impegnativa per garantire una maggiore sicurezza.

Inoltre, molte VPN sono dotate di un qualche tipo di supporto per i servizi di autentificazione multipla. Questo perché il livello di integrazione non risulti così destabilizzante per l’utente che si trova a doverlo utilizzare e l’azienda a gestire.

Quindi, se le aziende si trovano bene a usare LDAP (Lightweight Directory Access Protocol – un protocollo software che consente di localizzare organizzazioni, individui e altre risorse come, ad esempio, file o dispositivi sulla rete, pubblica o provata che sia) o server Radius in negozio, non è difficile aggiungere ulteriori fattori di autenticazione.

Web Services

Il secondo caso operativo in cui è opportuno utilizzare un’autenticazione multipla è quello in cui si debba accedere a una serie di servizi in Rete come, ad esempio, Google Docs o applicazioni in cloud come Salesforce.

In questo scenario è necessario registrarsi, utilizzando il Security Assertion Markup Language (SAML) e verificare l’attendibilità tra l’applicazione e il server su cui gira lo strumento MFA per procedere poi alla fase di autenticazione aggiuntiva. Questo è il metodo con cui Google e Apple aggiungono un secondo fattore di autenticazione legato ai servizi correlati a Gmail e iTunes.

Se le imprese utilizzano una varietà di soluzioni in cloud come, ad esempio, il software as a service (SaaS) o altri servizi aziendali simili, i responsabili dovrebbero prendere in considerazione l’aggiunta di un’autenticazione a più fattori per proteggere meglio i dati delle applicazioni in cloud. Questi tipi di servizi, infatti, sono spesso presi di mira dagli hacker, che cercano di sottrarre le password: per questo è sempre meglio avere un piano di sicurezza ulteriore.

Questo metodo può essere utilizzato anche come sistema per rendere ancora più sicuri i login legati al movimento chiamato bring your own identity (BYOI), che utilizza il cloud in maniera federata per gestire le identità. La federazione si riferisce alla condivisione di un processo di autenticazione unica su più server e/o servizi.

Mentre il BYOI è una formula che semplifica agli utenti l’accesso a più siti web, al contempo, rende anche più vulnerabile l’identità nel caso qualcuno riesca a scardinare un login. Per arginare questa falla potenzialmente molto pericolosa, gli specialisti della sicurezza suggeriscono alle organizzazioni dei implementare strumenti MFA.

L’autentificazione multipla è importante anche nel caso vengano impiegati strumenti di tipo single sign-on. Ad esempio, se un’azienda ha un portale con una serie di link a una lista di soluzioni SaaS e assume un nuovo impiegato, succede spesso che gli vengano date le credenziali per loggarsi in automatico.

In questo caso, l’utente non conosce le password e non ne ha nemmeno bisogno. È lo stesso strumento a creare una password complessa e unica che, in combinazione con un sistema di autentificazione multipla, rafforza ulteriormente il log in e di conseguenza la sicurezza.

Il vantaggio di questo metodo di autenticazione è che non deve toccare le applicazioni che risiedono sul cloud per migliorare la sicurezza di accesso. Lo svantaggio è che non tutti i Web Services provider supportano SAML o, almeno, non ancora. Nel frattempo, alcuni vendor richiedono l’acquisto separato di prodotti in grado di fornire autenticazioni SAML, il che conferma che si tratti di un campo ancora nuovo in cui i casi d’uso crescono di giorno in giorno.

Aggiungendo codice HTML, come SOAP, Perl o JavaScript, per le pagine di un server Web, l’autenticazione multipla può essere utilizzata per proteggere gli account di accesso allo stesso server. In pratica è il codice stesso che rende a fattore multiplo la connessione tra il server e i servizi del provider.

Questo può essere relativamente semplice da attivare, in particolare per le applicazioni on-premise. Gli utenti possono implementare l’MFA rapidamente in una pagina, a condizione di comprendere la natura e le implicazioni legate alla sicurezza del codice che stanno aggiungendo. La cosa, invece è quasi impossibile quando si utilizza un servizio gestito che non consente di toccare il codice.

Questo approccio può essere una valida alternativa nel caso in cui uno strumento di autentificazione multipla non supporti ancora i login SAML, o quando ci sono app personalizzate in cui basta scrivere poche righe di codice per rendere l’accesso più sicuro.

MFA: alcuni consigli per scegliere la soluzione più adatta alla propria azienda

Nel valutare i prodotti di autenticazione a più fattori bisogna considerare con attenzione come ognuno dei casi citati differisca l’uno dall’altro.

Non tutti i vendor sono capaci di gestire allo stesso modo entrambi gli scenari e questo è un primo criterio importante per selezionare un prodotto rispetto a un altro. Per fare chiarezza e procedere nella scelta, ecco una lista che aiuta a fare chiarezza.

  1. Se la propria rete aziendale non gestisce un grosso numero di informazioni private, probabilmente i metodi di autenticazione esistenti sono sufficienti.
  2. Le soluzioni MFA hanno dei costi di licenza, per cui bisogna verificare a quante persone arriveranno gli alert e la reportistica di dettaglio e questo, ovviamente, è indipendente dalle dimensioni aziendali.
  3. I sistemi MFA vanno introdotti in azienda a partire da una serie di utenti pilota, il che determina quali sono le applicazioni e i casi d’uso da proteggere con una procedura di autentificazione multipla.
  4. Può succedere che già alcuni dipendenti utilizzino strumenti di autenticazione a due fattori nell’erogazione di servizi per i consumatori. In caso contrario, le imprese dovrebbero iniziare a evangelizzare le proprie risorse sui rischi e sugli approcci più evoluti a un accesso protetto e sicuro almeno ai servizi in cloud più comuni, come Google, Facebook, Twitter e così via. Dopo tutto, l’autenticazione a più fattori è già integrata in questo genere di servizi, e non costerà nulla altro che una piccola attività di formazione.

Infine, prima di scegliere un fornitore di autenticazione a più fattori, le aziende devono considerare attentamente le seguenti criticità.

  1. Se una società non ha un Active Directory capace di agire secondo una modalità multifattoriale il passaggio non sarà affatto facile. Molto meglio allora concentrarsi a una razionalizzazione della directory, in modo da essere sicuri che prima di iniziare l’implementazione tutto sia corretto e conforme alle nuove procedure che is vogliono implementare.
  2. Se un’azienda utilizza per lo più ancora un server locale, sarebbe meglio partire con un rafforzamento delle politiche di password relative al mondo Windows Server. Questo consente di valutare la magnitudo degli utenti, ogniqualvolta questi si ritrovano a cambiare regolarmente le proprie password e a renderle più complesse.
  3. Se una società ha personale distribuito sul territorio, la formazione rispetto all’utilizzo di portachiavi fisici e sistemi di autenticazione multipla può essere difficile. Nel qual caso allora le aziende farebbero forse meglio ad affidarsi a un software token, ovvero un dispositivo fisico che effettua un’autenticazione tipicamente a due fattori.

L’autenticazione a più fattori richiede chiaramente una certa attenzione e senza dubbio una grande capacità di pianificazione. Ci sono numerosi casi di utilizzo in cui questa tecnologia viene applicato in modi diversi per diverse infrastrutture IT. Capire come utilizzare un sistema di autenticazione a più fattori è comunque molto importante, prima di scegliere un qualunque provider.

I metodi di verifica utilizzati dall’autenticazione a più fattori variano dall’utilizzo di una telefonata, l’utilizzo di un’app o di un token, fino al controllo di dati biometrici, come possono essere le impronte digitali o la retina.

La sicurezza del metodo sta proprio nell’utilizzo di livelli di soluzioni diversi tra loro. Un esempio valido di MFA è l’utilizzo di OTP, One-Time Password, legate ad app in cui per loggarsi è necessaria, una o più volte, abilitare il device utilizzato tramite la ricezione di un codice temporaneo.

CLICCA QUI per scaricare il white paper: Come gestire le infrastrutture ibride garantendo sicurezza intrinseca e proattiva

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati