Autenticazione a più fattori (MFA)-ovvero l'utilizzo di più di un fattore di identificazione quando si richiede l'accesso a risorse protette, è fondamentale per sventare gli attacchi legati alle credenziali, rispettare le normative sulla cybersecurity e mantenere le risorse sicure. Richiedendo uno o più fattori di autenticazione aggiuntivi rispetto alla semplice combinazione nome utente/password, l'MFA crea un ulteriore ostacolo per i potenziali aggressori che cercano di ottenere l'accesso. L'MFA si è rivelato estremamente efficace dopo la sua ampia adozione negli ultimi due decenni; in uno studio, si è rivelato efficace per mantenendo più del 99,99% dei conti in sicurezza.
L'efficacia dell'MFA nel bloccare gli attacchi ispira costantemente gli aggressori a ideare tattiche sempre più complesse e a creare nuove vie di attacco per aggirare le difese di un'organizzazione. La buona notizia è che anche l'MFA si adatta costantemente per affrontare le sfide emergenti. In questo post esamineremo le tendenze dell'MFA che si profilano all'orizzonte, tra cui le sfide che l'MFA dovrà affrontare, i nuovi metodi MFA e le considerazioni che le organizzazioni dovranno tenere in considerazione quando valutano le innovazioni MFA.
1. Autenticazione adattiva
L'autenticazione adattiva si è evoluta dalla MFA tradizionale come un modo per aumentare la sicurezza senza aumentare l'onere per gli utenti. Si tratta di una forma avanzata di MFA che risponde dinamicamente a chi presenta le credenziali di accesso, in base al livello di rischio associato al tentativo di accesso. Ad esempio, se l'utente accede con il suo solito dispositivo dalla sua solita postazione, l'MFA adattivo lo riconoscerà e concederà l'accesso senza richiedere un ulteriore fattore di autenticazione.
Ma se si accede da un dispositivo non riconosciuto, in un luogo sconosciuto o utilizzando un browser o una rete diversi da quelli abituali, l'MFA adattivo può richiedere di fornire un fattore di autenticazione aggiuntivo. A volte questo fattore aggiuntivo viene definito "autenticazione step-up", in quanto i requisiti di autenticazione del sistema aumentano in tempo reale insieme al rischio. Con la continua evoluzione delle minacce, ci aspettiamo che un numero sempre maggiore di organizzazioni implementino l'autenticazione adattiva per garantire che la loro sicurezza sia al passo con le minacce.
L'MFA adattivo offre una sicurezza maggiore rispetto ai metodi e ai criteri di autenticazione statici. Adattandosi dinamicamente alle minacce in tempo reale, l'MFA adattivo è in grado di rilevare e bloccare attacchi sofisticati come l'inserimento di credenziali e il phishing, e di ridurre il rischio di perdita di dati. Stanchezza da AMF che è associato al fatto che gli aggressori bombardano gli utenti con richieste di autenticazione per consentire un tentativo di accesso dannoso. Oltre a migliorare la sicurezza, l'autenticazione adattiva migliora anche l'esperienza dell'utente, riducendo il numero di richieste di verifica che gli utenti devono affrontare durante l'autenticazione.
2. Autenticazione consapevole del contesto
L'autenticazione consapevole del contesto è una componente dell'autenticazione adattiva che si prevede diventerà un pilastro dell'MFA. A differenza dell'autenticazione adattiva, l'autenticazione context-aware analizza diversi dati per prendere decisioni di autenticazione, tra cui:
- Tipo di dispositivo: Il login proviene da un dispositivo noto?
- Posizione: L'utente si sta collegando da una posizione nota?
- Indirizzo IP: L'IP è associato a una VPN?
- Orario di accesso: L'accesso avviene ad un orario insolito?
- Comportamento: La velocità di digitazione o il movimento del mouse riflettono il comportamento abituale?
Sia l'autenticazione context-aware che quella adattiva analizzano le informazioni di login, ma c'è una grande differenza che le distingue: L'autenticazione context-aware controlla e segnala le condizioni di accesso, ma non necessariamente regola la sicurezza in modo dinamico in base al contesto rilevato, lasciando invece all'uomo il compito di agire sulle informazioni. L'autenticazione adattiva, invece, è una funzionalità in tempo reale, guidata dall'intelligenza artificiale, in grado di modificare l'autenticazione e di apportare modifiche al rischio sul momento, compreso il blocco automatico degli accessi ad alto rischio.
3. Autenticazione senza password
Difficili da ricordare per gli utenti e facili da indovinare per gli aggressori, le password sono diventate un anello debole dell'autenticazione, soprattutto con l'aumento del numero di risorse che richiedono un accesso sicuro. Autenticazione senza password I processi di autenticazione senza password utilizzano un'ampia gamma di fattori non basati su password, tra cui i collaudati token hardware, i codici OTP (one-time passcode) generati e le azioni basate su app come il push-to-approve. Maggiore è il numero di opzioni senza password, maggiore è l'opportunità per le aziende di adattare gli ambienti senza password alle proprie esigenze specifiche o a specifici gruppi di utenti.
L'autenticazione senza password si sta evolvendo in modo sofisticato ed efficace. Una tendenza che vediamo influenzare l'evoluzione dell'MFA è l'aumento delle organizzazioni che utilizzano metodi senza password per migliorare l'esperienza degli utenti. Ad esempio, è probabile che le aziende si orientino sempre più verso accessi senza password attraverso la biometria, come mezzo per proteggere meglio i sistemi interni, combattere il phishing e migliorare la postura Zero Trust.
Tasti di passaggio offrono un'altra strada per migliorare la sicurezza aziendale attraverso metodi di autenticazione senza password. Un tempo associati principalmente all'esperienza dei consumatori, fanno sempre più parte del futuro dell'MFA, in particolare nell'uso aziendale. La chiave per il successo dell'implementazione dei passkeys è l'utilizzo di soluzioni adatte all'uso aziendale e la massimizzazione della sicurezza.
A tal fine, le organizzazioni dovrebbero tipicamente utilizzare passepartout legati al dispositivo piuttosto che chiavi d'accesso liberamente sincronizzate tra più dispositivi.
4. Identità decentralizzata (DID)
La combinazione di identità decentralizzata (DID) e tecnologia blockchain è destinata a influenzare l'evoluzione dell'MFA. In un ambiente DID, gli utenti possiedono e controllano autonomamente la propria identità, anziché affidarsi a un'autorità centralizzata, come un database o una grande piattaforma tecnologica. Ad esempio, invece di accedere a una risorsa utilizzando un account organizzativo, un utente può aggiungere credenziali verificate a un portafoglio decentralizzato, utilizzando la blockchain come registro a prova di manomissione per i record di autenticazione.
Un approccio DID + blockchain ha il potenziale per migliorare l'MFA in diversi modi. Eliminando la presenza di un'autorità centrale che controlla i dati di autenticazione, riduce il rischio di violazione dei dati. Inoltre, supporta l'autenticazione senza password, verificando l'identità attraverso chiavi crittografiche memorizzate nella blockchain. Inoltre, poiché utilizza chiavi private memorizzate in modo sicuro per l'autenticazione, può rendere inutili gli attacchi di phishing.
5. Tecnologie emergenti nell'AMF
Diverse tecnologie emergenti hanno un enorme potenziale di impatto sull'AMF, sia in positivo che in negativo. Il lato positivo è che AI sta contribuendo a rendere possibile il rilevamento proattivo, adattivo e automatizzato delle minacce; con l'evoluzione delle minacce informatiche, i sistemi guidati dall'IA saranno la chiave per la difesa dalle minacce in tempo reale. C'è però un'altra faccia della medaglia: gli aggressori informatici possono anche utilizzare l'IA per creare nuovi e più potenti meccanismi di minaccia. In particolare, però, la stragrande maggioranza dei professionisti della cybersecurity in una recente Sondaggio RSA (80%) ha dichiarato di aspettarsi che nei prossimi anni l'intelligenza artificiale favorisca la sicurezza informatica più che favorire i criminali informatici.
Anche l'utilizzo di dispositivi IoT e connessi come fattori MFA presenta sia potenziali vantaggi che potenziali minacce per l'autenticazione. I dispositivi IoT hanno un ruolo fondamentale nel consentire l'autenticazione basata sulla prossimità (si pensi agli smartwatch che sbloccano i computer portatili); l'accesso consapevole del contesto (in cui i sensori IoT verificano gli utenti in base alla posizione e ad altri fattori); e l'autenticazione zero-touch, in cui i dispositivi riconoscono automaticamente gli utenti autorizzati. Allo stesso tempo, però, in virtù della sua interconnessione con più dispositivi e risorse, l'IoT può anche aprire più strade per introdurre rischi di autenticazione.
Un'area delle tecnologie emergenti che rappresenta inequivocabilmente un problema potenziale per l'MFA è l'informatica quantistica, che rappresenta una seria minaccia per le tecniche di crittografia che proteggono i sistemi MFA. Fortunatamente, però, non sono stati riscontrati usi verificabili dell'informatica quantistica per violare la crittografia o l'MFA. E, dato che informatica quantistica richiede più risorse di quelle attualmente disponibili, la tecnologia è ancora agli albori e gli eventuali rischi per l'MFA o la crittografia sono ancora puramente teorici. Il NIST ha dichiarato che le chiavi a 2048 bit dovrebbero continuare a offrire una protezione sufficiente almeno fino al 2030, e la maggior parte dei browser web moderni è in grado di supportare chiavi a 4096 bit in caso di necessità.
Inoltre, sono in corso lavori per rendere l'MFA resistente ai quanti, compresi i passi che il NIST sta compiendo per standardizzare algoritmi di crittografia resistenti ai quanti che creino protocolli MFA sicuri dal punto di vista quantistico. L'agenzia ha rilasciato nuovi standard di crittografia post-quantistica FIPS (FIPS 203, FIPS 204, e FIPS 205). Le organizzazioni dovrebbero esaminare questa guida e iniziare ad applicarla oggi stesso.
Come potete assicurarvi che le vostre capacità di autenticazione siano all'altezza delle sfide che l'MFA deve affrontare oggi e dei nuovi rischi che si stanno evolvendo per aggirarla?
La vostra difesa inizia semplicemente con la consapevolezza e l'attenzione a queste tendenze, e continua con l'adozione delle misure giuste per stare al passo con esse. Ciò significa adottare i progressi dell'MFA come l'autenticazione adattiva, passare all'autenticazione senza password ed esplorare le tecnologie emergenti legate all'MFA per comprendere i vantaggi che possono apportare e i rischi che potrebbero comportare. Come sempre, RSA è qui per aiutarvi.
