Parlando di Zero Trust abbiamo visto come uno dei quattro elementi sui cui si fonda quell’innovativo approccio alla cybersecurity è la Multifactor Authentication (MFA), e come sia la più utilizzata tra quegli stessi elementi.
Con il termine Multifactor Authentication si indica una tecnologia di sicurezza che richiede l’utilizzo di metodi di autenticazione di diverse categorie, indipendenti dalle classiche credenziali (User ID e Password), con lo scopo di verificare l’identità degli utenti quando questi vogliono accedere a determinati applicativi. Come si comprende dal nome stesso – in italiano: autenticazione multifattoriale – questa tecnologia può combinare due o più credenziali indipendenti l’una dall’altra, superando il limite strutturale dell’utilizzo delle due citate classiche chiavi di accesso.
Oltre la semplice combinazione di Password e ID
«Il tradizionale sistema di accesso basato sulla combinazione di ID dell’utente e password ha un difetto: può essere facilmente compromesso – dice Davide Telasi, Sales Account manager per HWG –. Si fa osservare, si fa rubare e ciò porta alle aziende danni per milioni di dollari. La tecnologia MFA riduce radicalmente questo rischio perché si basa sul cosiddetto fattore di identificazione, cioè su una categoria di credenziali utilizzare per verificare efficacemente l’identità. Quando si utilizza la MFA, fattore aggiuntivo è proprio voluto per aumentare il livello di sicurezza, per sapere che chi richiede l’accesso è colui che afferma di essere. Tutto ciò complica moltissimo il lavoro dei malintenzionati».
Il fattore di autenticazione è dunque l’elemento chiave, e si articola in tre categorie: la Conoscenza, il Possesso e il fattore Biometrico. Il primo considera tutto ciò che l’utente conosce di sé, dalla risposta a una domanda di sicurezza alla classica password, passando per i numeri di un PIN. Il secondo si riferisce invece a oggetti fisici di cui si è in possesso: un badge, un portachiavi, un token, una smart card, chiavette che memorizzino informazioni personali. Il fattore Biometrico, infine, è il più difficile da aggirare e si basa sull’utilizzo di un tratto biologico dell’utente: la scansione della retina, la lettura dell’impronta digitale, l’autenticazione vocale, e così via. Nessuna delle tre categorie esclude l’altra; anzi, sono sempre più diffuse applicazioni che propongono all’utente di entrare scegliendo quale utilizzare. Per esempio, come quando sul proprio smartphone si opta tra la lettura dell’impronta digitale o l’inserimento del PIN.
Perché la MFA è il “must have” del momento
«In questo momento tutti, utenti e aziende, devono considerare per i propri sistemi l’adozione della MFA». A riguardo, Telasi non ha dubbi, e spiega così la propria certezza: «Il rischio di essere privati delle proprie credenziali oggi è altissimo, anche perché è facile e può avvenire in molti modi, non solo attraverso attacchi cyber. Pensiamo al cosiddetto shoulder surfing: sono in un bar, mi gusto un caffè e nel mentre mi connetto alla rete aziendale. Non possiamo escludere che alle mie spalle qualcuno veda cosa digito sulla tastiera e ne approfitti».
Al di là del caso di furto fisico, la miglior ragione per adottare la tecnologia MFA è il costante aumento degli attacchi e delle minacce. Termini quali data leak, data breach, phishing, malware, ransomware sono ormai frequenti nella cronaca quotidiana, grazie anche a una consapevolezza non così diffusa verso la bontà dell’approccio Zero Trust.
«Qui torniamo a quanto abbiamo visto nel post ad esso dedicato – precisa Telasi –: se tutti i miei utenti hanno lo stesso livello di privilegio, il malintenzionato ha buon gioco a puntare l’utente meno esperto, magari il magazziniere o il contabile che, giustamente impegnati nel proprio lavoro, non hanno gli strumenti per riconoscere una mail di phishing, la cliccano e aprono la porta all’intrusione. Se queste figure hanno lo stesso privilegio di un CFO, perché si ragiona ancora in termini di perimetro aziendale, si capisce come ciò faciliti immensamente il lavoro di chi attacca. Con L’MFA l’accesso alle app avviene su richiesta di un secondo o di un terzo fattore di autenticazione, cosa che evita all’attaccante di poter sfruttare ciò che ha rubato. Ecco perché, come si dice, è un must, e in HWG insistiamo molto con le aziende affinché lo adottino».
