Che cos'è l'Autenticazione a più fattori (MFA)?

L'Autenticazione a più fattori (MFA) è un processo di sicurezza in cui agli utenti è richiesto di passare attraverso vari passaggi di autenticazione per ottenere l'accesso a un sistema o un'applicazione o per completare una transazione. 

A differenza di altre pratiche di verifica dell'identità, l'MFA aggiunge un secondo livello di sicurezza richiedendo un'informazione aggiuntiva. 

Questo, ovviamente, complica l'accesso per i truffatori, anche se in possesso della password.

Le aziende SaaS dovrebbero considerare seriamente l'implementazione dell'MFA quando gestiscono informazioni sensibili, poiché ciò aumenta la sicurezza e la privacy. 

L'MFA si concentra su categorie di dati specifiche durante la verifica dell'identità:

• Fattori di conoscenza: Informazioni che l'utente conosce, come una password o un PIN.

• Fattori di possesso: Elementi che l'utente possiede, come uno smartphone, un token hardware o un'app di autenticazione.

• Fattori di inerenza: Caratteristiche biometriche, come impronte digitali, riconoscimento facciale o modelli vocali.

• Fattori di posizione o contestuali: Segnali come la posizione geografica, l'indirizzo IP o la reputazione della rete.

Combinare i fattori nel processo di verifica aumenterà la sicurezza.

L'MFA presenta i seguenti vantaggi: 

• Maggiore protezione dell'account: Le password compromesse da sole non sono sufficienti per l'accesso.

• Rischio di violazione ridotto: Microsoft riferisce che l'MFA può bloccare oltre il 99% degli attacchi di compromissione dell'account.

• Controllo degli accessi migliorato: L'MFA impone un'autenticazione coerente e basata su policy tra utenti e sistemi.

• Minore impatto sul business: Previene perdite finanziarie, tempi di inattività e danni alla reputazione causati da violazioni.

• Ridotta dipendenza dalle password: Limita l'esposizione al riutilizzo delle password e agli attacchi di credential stuffing.
  

Sebbene l'MFA possa introdurre un attrito minore e costi di implementazione, questi compromessi sono generalmente superati dai vantaggi di sicurezza per la maggior parte delle organizzazioni.

Le password sono ancora il primo passaggio di autenticazione in molti flussi di lavoro MFA. Password deboli o riciclate aumentano il rischio di essere hackerati e di subire attacchi di ingegneria sociale, specialmente nel caso dell'affaticamento da MFA (MFA fatigue), in cui gli utenti sono indotti ad approvare richieste di accesso da parte dei cybercriminali.

Una password forte e unica riduce la possibilità di essere compromessi fin dall'inizio e rafforza l'efficacia dell'MFA. 

In un ambiente aziendale, l'MFA funziona così:

1. L'utente inserisce il proprio nome utente e la password.
2. Il sistema tiene conto del contesto in relazione al dispositivo, alla posizione e al comportamento.
3. All'utente viene richiesto di fornire un secondo fattore di autenticazione, come un codice da un'app di autenticazione, una scansione biometrica o un token hardware. 
4. L'accesso viene concesso solo dopo una verifica riuscita.

Le organizzazioni SaaS devono anche considerare l'aggiunta di un metodo di autenticazione aggiuntivo all'elenco nel caso in cui il dispositivo primario venga compromesso o sia altrimenti non disponibile per l'uso.

I sistemi MFA utilizzano spesso vari metodi per identificare dispositivi nuovi o sconosciuti, tra cui:

• fingerprinting del dispositivo
• analisi IP
• cronologia delle posizioni
• monitoraggio delle attività. 

Sono proprio questi metodi a far scattare un allarme quando una nuova posizione o un dispositivo insolito viene utilizzato per il tentativo di accesso. Tali pratiche sono utili per le applicazioni remote e cloud, dove c'è un'elevata diversità di dispositivi.

L'MFA adattivo si basa su valutazioni del rischio per stabilire maggiori o minori autenticazione livelli. Ci sono molti segnali che possono attivare livelli più elevati di verifica, come:

• posizioni insolite
• movimenti impossibili
• comportamenti o reti insoliti
• reti sospette. 

Le situazioni a basso rischio possono procedere con un attrito minimo, mentre quelle ad alto rischio richiedono più fattori o vengono bloccate. Questa pratica offre una maggiore sicurezza ed elimina richieste MFA non necessarie per gli utenti normali.

Sì. La robustezza dell'MFA dipende dai criteri utilizzati. 

• I codici basati su SMS offrono il livello di protezione più basso e sono vulnerabili al SIM swapping.
• app di autenticazione e hardware token forniscono livelli di garanzia più elevati
• fattori biometrici (utilizzati da 3D Secure) offrono il massimo livello di sicurezza purché siano implementati correttamente. 

Le organizzazioni SaaS dovrebbero considerare la robustezza della MFA in base alla sensibilità dei dati o del sistema protetto, bilanciando i requisiti di sicurezza con l'esperienza utente.