Migliori pratiche senza password resistenti al phishing: Leggi il rapporto Gartner

Si sente spesso parlare dell'urgente necessità di resistere al phishing e, a dire il vero, il phishing rappresenta una minaccia significativa, come dimostrano i recenti attacchi a Cambiare l'assistenza sanitaria e Fidelity Investments dimostrare.

Il phishing è un tipo di attacco informatico in cui gli aggressori inducono gli utenti a rivelare credenziali o informazioni sensibili, spesso attraverso e-mail, siti web o messaggi ingannevoli. I metodi di autenticazione resistenti al phishing, compresi gli approcci senza password, sono progettati per prevenire il furto di credenziali vincolando l'autenticazione a un dispositivo o a un'origine ed eliminando i segreti condivisi.

Autenticazione senza password: cosa state aspettando?

Si parla molto anche dell'importanza dell'autenticazione senza password per rendere le organizzazioni resistenti al phishing, con direttive come M-22-09, Executive Order 14028 e M24-14 che richiedono più della semplice autenticazione a più fattori (MFA). OMB - M-22-09 afferma che: "Le agenzie sono incoraggiate a perseguire un maggiore uso dell'autenticazione a più fattori senza password mentre modernizzano i loro sistemi di autenticazione".

Ma l'esigenza di non avere password va oltre la lotta al phishing e si estende alla creazione di ambienti di autenticazione che offrano una protezione reale per respingere i cyberattacchi di ogni tipo. Come si legge nel rapporto Gartner Migrare all'autenticazione senza password per migliorare la sicurezza e ottimizzare la UX sottolinea:

"Le organizzazioni che continuano ad affidarsi alle password, anche nell'ambito dell'autenticazione a più fattori (MFA), sono meno sicure di quelle che sono passate a metodi senza password".

In RSA ci chiediamo spesso perché un numero maggiore di organizzazioni non abbia fatto passi avanti nell'adozione dell'autenticazione senza password. Il report di Gartner analizza a fondo i fattori che frenano le organizzazioni, condivide consigli pratici per andare avanti e definisce un approccio graduale per cogliere ogni opportunità di passare all'autenticazione senza password.

Considerando l'adeguamento della cultura e dei sistemi che è necessario prendere in considerazione quando si passa al sistema senza password, potrebbe essere ragionevole che le organizzazioni sembrino esitare. Tuttavia, dato il rischio dimostrato di furto di credenziali, è opportuno agire prima che dopo. Più password hanno gli utenti nel vostro ambiente, maggiore è il rischio.

Se i CISO o i responsabili della gestione delle identità e degli accessi (IAM) sono preoccupati di investire troppo presto in una nuova tecnologia senza password, nel frattempo dovranno affrontare il rischio molto concreto di essere vittime di un attacco basato sulle credenziali. Questi rischi di cybersicurezza sembrano superare l'esitazione della maggior parte delle organizzazioni.

La FIDO Alliance riporta che 87% delle aziende stanno implementando o pianificando di implementare i passkeys per migliorare la sicurezza e l'UX. E non si tratta solo di aziende: i consumatori si stanno orientando sempre più verso l'autenticazione senza password, con oltre 175 milioni di clienti Amazon che ora utilizzano i passkeys per accedere.

Tattiche di phishing comuni che aggirano l'MFA debole

Anche le organizzazioni che utilizzano l'MFA tradizionale possono essere vulnerabili se i metodi di autenticazione non sono resistenti al phishing:

• Intercettazione delle credenziali: Gli OTP inviati tramite SMS, e-mail o app di autenticazione possono essere catturati.
• Attacchi Man-in-the-middle: Gli aggressori inducono gli utenti a fornire le proprie credenziali tramite portali di accesso fasulli.
• Malware keylogger: Il software registra i tasti premuti, comprese le password e gli OTP.
• Kit di phishing: I framework di attacco automatizzati mirano a metodi MFA che non sono crittograficamente legati al dispositivo o all'origine.

Il rapporto Gartner sottolinea che le organizzazioni possono implementare con successo l'assenza di password in incrementi gestibili: "I responsabili IAM dovrebbero seguire un approccio graduale".

Il rapporto propone quattro passi specifici che le organizzazioni devono compiere:

1. Identificare i casi d'uso, iniziando con un inventario dei luoghi in cui vengono utilizzate le password.
2. Concordare gli stati target in base agli obiettivi di sicurezza e UX.
3. Identificare le preferenze tra i diversi metodi e flussi.
4. Creare una roadmap per i casi d'uso della forza lavoro e dei clienti.

A Conferenza RSAC 2025, Ho spiegato che l'assenza di password è un percorso che richiede tanto la verifica dei metodi di autenticazione attuali e l'implementazione dell'MFA quanto la pianificazione del futuro. Le organizzazioni possono scoprire che se attualmente dispongono di un'autenticazione forte, potrebbero essere già a metà strada per arrivare a un'autenticazione senza password.

L'MFA resistente al phishing funziona legando l'autenticazione al dispositivo e all'origine dell'utente ed eliminando i segreti condivisi in rete. I metodi includono:

• Passkeys e notifiche push basate su app: Gli utenti possono approvare o negare le richieste di autenticazione da un dispositivo mobile senza inviare le password in rete.
• Fattori basati sul dispositivo: La verifica dell'identità è legata a un dispositivo specifico, non a credenziali condivise.
• Autenticazione basata su hardware: Gli autenticatori RSA iShield Key 2 Series e RSA DS100 supportano l'autenticazione senza password FIDO2.
• Biometria: Riconoscimento delle impronte digitali e del volto su dispositivi Android, iOS e Windows.
• Smart card / certificati PKI: Comuni nei settori governativi e altamente regolamentati.

Perché le aziende hanno bisogno di un MFA resistente al phishing

• Crescente sofisticazione degli attacchi di phishing che prendono di mira gli OTP e l'MFA tradizionale
• Driver normativi (NIST 800-63B, Ordini esecutivi 14028, guida CISA Zero Trust)
• Rischio di furto di credenziali nel mondo reale
• Sicurezza ed esperienza utente migliorate rispetto all'MFA tradizionale

Il rapporto Gartner afferma che “i leader IAM dovrebbero implementare metodi senza password laddove sono facilmente supportati e intraprendere ulteriori azioni per estendere l'autenticazione senza password ad altri casi d'uso”.”

Per le organizzazioni che desiderano implementare soluzioni senza password, RSA offre un'ampia gamma di funzionalità e risorse specifiche senza password, tutte disponibili all'interno della RSA Unified Identity Platform, dotata di intelligenza artificiale.

• Passkeys: RSA supporta le chiavi d'accesso attraverso la funzione App RSA Authenticator, che consente agli utenti di registrare un dispositivo come chiave di accesso e di utilizzarlo per l'autenticazione senza password.
• Notifiche push basate su app: RSA offre notifiche push basate su app che consentono agli utenti di approvare o negare le richieste di autenticazione dai loro dispositivi mobili.
• Fattori basati sul dispositivo: RSA verifica dell'identità Le funzionalità includono il collegamento dell'identità a un dispositivo specifico e non a un insieme di credenziali che possono essere prese di mira dal phishing e da altri attacchi.
• Autenticazione basata sull'hardware: La Serie RSA iShield Key 2 di autenticatori e il RSA DS100 authenticator offrono entrambi un'autenticazione senza password basata su FIDO2 per i casi d'uso in cui la biometria o i telefoni cellulari non sono adatti, come quando gli operatori sanitari devono indossare guanti e maschere di plastica o in camere bianche che non consentono l'uso di dispositivi connessi a Internet.
• Biometria: RSA supporta il riconoscimento delle impronte digitali e del volto su dispositivi Android e iOS. Supportiamo anche Windows Hello come metodo di autenticazione biometrica per gli utenti Windows.

Oltre alle soluzioni senza password e basate su dispositivi di RSA, le organizzazioni possono sfruttare altre tecnologie MFA resistenti al phishing per migliorare la sicurezza:

• Smart Card / Certificati PKI: Certificati memorizzati su dispositivi sicuri, spesso utilizzati nei settori governativi e altamente regolamentati per un'autenticazione forte.
• Passkeys per cellulari e desktop: Credenziali legate al dispositivo che consentono di effettuare il login senza problemi e senza password su tutte le piattaforme.
• MFA adattivo: Autenticazione consapevole del contesto che combina i segnali del dispositivo, la geolocalizzazione e il comportamento dell'utente per imporre una verifica più rigorosa quando viene rilevato un rischio.
• Gettoni di sicurezza software: Chiavi generate crittograficamente e memorizzate su app sicure che soddisfano gli standard di resistenza al phishing (ad esempio, app conformi a FIDO2).

Queste tecnologie, se combinate con una strategia di implementazione graduale, aiutano le aziende a costruire un quadro di autenticazione stratificato e resistente al phishing che protegge le identità sia della forza lavoro che dei clienti.

Vantaggi dell'MFA resistente al phishing

• Blocca gli attacchi di phishing e replay delle credenziali
• Soddisfa i mandati di conformità e gli standard normativi
• Migliora l'esperienza dell'utente rispetto all'MFA basato su OTP
• Riduce il rischio di compromissione degli account nei sistemi aziendali e dei clienti.

Per le organizzazioni che desiderano un'autenticazione hardware di livello aziendale, il sistema Serie RSA iShield Key 2 offre una soluzione sicura, conforme e di facile utilizzo. In combinazione con la suite completa di opzioni MFA senza password e resistenti al phishing di RSA, aiuta a proteggere l'organizzazione dai moderni attacchi alle credenziali, semplificando al contempo l'accesso degli utenti.

Per saperne di più sul funzionalità senza password disponibile come parte di RSA ID Plus, e iscriviti alla prova gratuita per vedere di persona come RSA può aiutarvi ad accelerare il vostro percorso verso l'autenticazione senza password.

Gartner, Inc. Migrare all'autenticazione senza password per migliorare la sicurezza e ottimizzare la UX. Ant Allan, James Hoover. Pubblicato originariamente il 30 agosto 2024

GARTNER è un marchio registrato e un marchio di servizio di Gartner, Inc. e/o delle sue affiliate negli Stati Uniti e a livello internazionale. Tutti i diritti sono riservati.