Questo blog è stato pubblicato per la prima volta nel 2025 ed è stato aggiornato.
Le recenti violazioni dimostrano che l'MFA tradizionale non è sufficiente a fermare gli aggressori:
- MGM Resorts ha riferito $100 milioni dopo che gli aggressori hanno usato credenziali Okta rubate per superare l'MFA, causando una delle più grandi interruzioni informatiche nella storia dell'ospitalità.
- Gli hacker hanno sfruttato API insicure per bypassare i controlli di autenticazione presso l'azienda. Dipartimento del Tesoro.
- Un difetto in Microsoft Azure MFA ha causato una vulnerabilità di bypass dell'autenticazione che ha reso "milioni di account suscettibili di accesso non autorizzato", secondo quanto riportato da Rivista Infosecurity.
Qual è la risposta? L'autenticazione moderna.
L'autenticazione moderna è priva di password per impostazione predefinita, consapevole dei rischi e continuamente adattiva. Integra le informazioni sull'utente e sull'accesso, il contesto e i segnali di rischio per autenticare gli utenti in modo dinamico, non solo al momento dell'accesso, ma durante l'intera sessione.
A differenza dell'MFA tradizionale, l'autenticazione moderna è progettata per soddisfare il livello di maturità ottimale di Zero Trust, come definito da NIST. L'autenticazione moderna deve soddisfare questi criteri:
- Sicurezza più forte senza password-Eliminare i segreti condivisi sfruttati dagli aggressori.
- Convalida continua dell'identità-Sfruttare i segnali di rischio, il contesto del dispositivo e l'analisi del comportamento.
- Funziona ovunque, per tutti-Che sia on-premises, cloud o ibrida, l'autenticazione moderna deve proteggere tutti gli utenti, tutti i dispositivi e tutti gli ambienti.
1. Sicurezza end-to-end:
La resistenza al phishing non è sufficiente. Una soluzione di autenticazione moderna deve essere resistente al malware, alle frodi, agli attacchi brute-force, alle tecniche di bypass e alle interruzioni, tutti fattori che hanno contribuito alle recenti violazioni.
Considerazioni chiave:
- Il vostro metodo di autenticazione protegge dal dirottamento di sessione e dal furto di token di sessione?
- È in grado di prevenire il bombardamento di prompt MFA e il riempimento di credenziali?
- È resiliente in caso di interruzione o la vostra organizzazione sarà bloccata?
2. End-to-End senza password
L'MFA tradizionale si basa ancora sulle password: nella maggior parte dei casi, l'MFA tradizionale ricorre ancora a un metodo basato sulle password per l'impostazione, il recupero delle credenziali o altre fasi del ciclo di vita dell'identità. Gli utenti tendono a inserire le password per iniziare una sfida MFA, per iscriversi all'MFA all'inizio e per resettare l'MFA se necessario. Questo è un problema, perché minacce come il malware, lo spray per le password e il bombardamento dell'MFA possono ancora sfruttare la password di base.
Senza password dovrebbe significare esattamente questo. Un approccio di autenticazione moderno dovrebbe eliminare completamente le password e dovrebbe includere:
- Chiave hardware e/o mobile per tutti gli utenti
- Autenticazione moderna per server, mainframe e infrastrutture IT
- Opzioni multiple senza password per l'accesso al desktop di Windows e macOS.
- Fallback OTP senza password per tutto il resto.
Per le organizzazioni che implementano metodi senza password di livello aziendale e resistenti al phishing, il Serie RSA iShield Key 2 fornisce un'autenticazione hardware certificata FIDO2, realizzata per soddisfare gli standard federali e Zero Trust.
3. Funziona ovunque e per tutti
Le aziende operano in ambienti cloud, ibridi e on-premise. Qualsiasi strategia di autenticazione che non sia indipendente dall'infrastruttura crea lacune nella sicurezza.
Domande da porre:
- La vostra soluzione di autenticazione funziona su tutte le piattaforme (Windows, macOS, Linux, mobile, server on-prem)? E le applicazioni legacy?
- È resiliente? È in grado di supportare il failover ibrido e l'accesso offline in scenari critici?
- È scalabile per tutti gli utenti, compresi i dipendenti, gli appaltatori e gli amministratori privilegiati?
Le organizzazioni hanno bisogno di passwordless che funzionino per ogni utente, in ogni ambiente, in ogni momento.
Il futuro dell'autenticazione non è solo un MFA resistente al phishing. È invece senza password, resiliente e sicuro per tutto il ciclo di vita dell'identità.
Le organizzazioni con operazioni mission-critical hanno bisogno di soluzioni che proteggano dalle minacce guidate dall'intelligenza artificiale, dai deepfake e dalle tecniche di aggiramento delle credenziali, che rimangano disponibili nonostante le interruzioni di terze parti e che sostengano i criteri di autenticazione durante l'intero ciclo di vita dell'identità. In breve, hanno bisogno di una moderna autenticazione senza password.
