L’autenticazione a più fattori, o MFA, è una misura di sicurezza volta a verificare l’identità dell’utente in maniera più sicura rispetto alla classica combinazione nome utente-password. Questo tipo di autenticazione di solito incorpora una password ulteriore, ma può incorporare anche uno o due fattori di autenticazione aggiuntivi; questi metodi di verifica possono essere un codice generato casualmente, una telefonata, una smart card virtuale o fisica, un dispositivo biometrico quali impronte digitali o la retina.
Multi-Factor Authentication: categorie
I fattori di autenticazione possono si suddividono in tre categorie:
- Qualcosa che l’utente sa: questo fattore è rappresentato da qualcosa che solo un utente dovrebbe conoscere, come una combinazione di nome utente e password. Altri tipi di fattori di conoscenza possono includere domande di sicurezza, numeri ID o numeri legati in qualche maniera alla vita quotidiana.
- Qualcosa che l’utente possiede: questo fattore presuppone il possesso di un token fisico, un dispositivo o una chiave. Banalmente, questo fattore di autenticazione è l’utilizzo di una chiave di casa fisica per entrare in casa. In un contesto informatico, l’oggetto fisico potrebbe essere rappresentato da un portachiavi, un dispositivo USB o uno smartphone. Molti sistemi MFA moderni inviano un codice temporaneo al telefono di un utente e chiederanno loro di inserire tale codice per aver accesso al proprio account. Questo sistema dimostra che l’utente possiede un telefono che nessun altro possiede, aiutando quindi a stabilire la propria identità ed innalzare il livello di sicurezza (a meno che un hacker non abbia dirottato la scheda SIM dell’utente).
- Qualcosa che l’utente è: si riferisce a una proprietà fisica del proprio corpo. La versione più basilare di questo fattore di autenticazione è la capacità di riconoscere qualcuno dalla vista o dal suono della sua voce. Invece, in un contesto informatico, un esempio di questo fattore di autenticazione è Face ID, una funzionalità offerta da molti smartphone moderni che consente di sbloccare il telefono tramite l’inquadratura del volto tramite la fotocamera anteriore. Altri metodi possono includere la scansione delle impronte digitali o le scansioni della retina.
La Multi-Factor Authentication consente quindi di proteggere l’accesso ai dati e alle applicazioni, garantendo al tempo stesso un utilizzo semplice agli utenti. Offre ulteriore sicurezza richiedendo una seconda forma di autenticazione nonché un’autenticazione avanzata tramite una gamma di metodi di autenticazione semplici.
Multi-Factor Authentication: perchè il suo utilizzo è importante in azienda
Da una parte, il crescente numero assieme alla crescente complessità degli attacchi da parte degli hacker, dall’altra l’inefficacia della sola password a protezione dei dati degli utenti aziendali (dovuta alla scelta di password facili o, peggio ancora, scritte su un post-it applicato sul monitor) rendono doveroso un approccio più sofisticato.
Multi-Factor Authentication: Microsoft
Microsoft ha implementato l’autenticazione a più fattori nella suite Office 365 per garantire una maggiore sicurezza dei dati: la si gestisce dall’interfaccia di amministrazione di Microsoft 365, offrendo le seguenti funzionalità offerte dell’autenticazione a più fattori di Azure incluso nell’abbonamento:
- La possibilità di abilitare l’autenticazione a più fattori per gli utenti finali
- Utilizzare l’app di autenticazione per dispositivi mobili (online o OTP, One-Time Password) come secondo fattore di autenticazione
- Ricevere una telefonata o un SMS come secondo fattore di autenticazione
- Password delle applicazioni per i client non browser
Quando si implementano le funzionalità come all’interno dell’organizzazione, occorre esaminare i metodi di autenticazione disponibili. È bene scegliere i metodi che soddisfano o superano i requisiti in termini di sicurezza, usabilità e disponibilità. Laddove possibile, usare i metodi di autenticazione con il massimo livello di sicurezza.
Multi-Factor Authentication: confronto
Vediamo un riassunto riguardante la sicurezza dei metodi di autenticazione disponibili.
| Metodo di autenticazione | Sicurezza | Usabilità | Disponibilità |
| Windows Hello for Business | Alto | Alto | Alto |
| App Microsoft Authenticator | Alto | Alto | Alto |
| Chiave di sicurezza FIDO2 | Alto | Alto | Alto |
| Token hardware | Medio | Medio | Alto |
| Token software | Medio | Medio | Alto |
| SMS | Medio | Alto | Medio |
| Chiamata vocale | Medio | Medio | Medio |
| Password | Basso | Alto | Alto |
Altri fattori di autenticazione
Alcuni esperti di sicurezza hanno proposto dei fattori di autenticazione aggiuntivi oltre a quelli sopra elencati. Questi fattori di autenticazione consistono:
- Nella posizione: dove si trova un utente al momento dell’accesso. Per fare un esempio, se una ditta ha sede in Italia e tutti i suoi dipendenti lavorano in Italia, potrebbe valutare la posizione GPS dei dipendenti e rifiutare un accesso proveniente da un altro paese.
- Nell’ora di accesso: quando un utente accede, in genere associato al fattore della posizione. Se un utente sembra accedere da un paese, quindi tenta un accesso successivo da un altro paese diversi minuti dopo, è probabile che tali richieste non siano legittime.
Se questi fattori possono essere considerati fattori di identità aggiuntivi allora l’autenticazione a quattro fattori o addirittura l’autenticazione a cinque fattori sono tecnicamente possibili. Occorre tuttavia tener presente che l’implementazione di misure di sicurezza così forti deve essere soppesata rispetto all’impegno che ciò comporta per l’utente, in quanto misure di sicurezza eccessivamente rigorose incentivano gli utenti a eludere le politiche ufficiali.
In questo articolo abbiamo visto come proteggersi da attacchi di malintenzionati, implementando soluzioni più sicure rispetto al tradizionale nome utente / password. Occorre quindi affidarsi ad aziende in grado di garantirci ottime difese e che sappiano configurare tali metodologie. Nexsys propone corsi con lo scopo di educare gli utenti ad un uso consapevole di Microsoft 365; insegna agli amministratori di sistema le migliori strategie nonché i prodotti da utilizzare affinché possano mitigare ogni possibile attacco consigliando come strutturare la propria infrastruttura informatica.
