Con ogni probabilità, vi sarà ormai capitato di usare l’autenticazione a più fattori (MFA) per proteggere uno o più account di lavoro. Di solito, funziona così: inserite la password, il sito o l’applicazione vi richiede un ulteriore forma di autenticazione (come un codice ricevuto sul cellulare o generato da un’app di autenticazione), voi soddisfate la richiesta e ottenete l’accesso al vostro account. L’MFA potrebbe sembrare una novità, eppure non lo è.
Diamo insieme un’occhiata a come si è evoluta l’autenticazione a più fattori e come continua a farlo per proteggere le imprese dalle minacce digitali di ultima generazione.
Anni ’90-2000: dalle tecnologie di nicchia per la verifica in 2 passaggi alle soluzioni 2FA intuitive
L’MFA e la sua precorritrice, l’autenticazione a due fattori (2FA), ci accompagnano sotto varie sembianze da oltre 20 anni. Malgrado le origini dibattute del 2FA (AT&T sostiene di averlo inventato negli anni ’90), questa tecnologia non ha goduto di molta popolarità fino a metà degli anni 2000. Ciò è dipeso principalmente dal fatto che i consumatori lo trovavano poco pratico da usare, dando inoltre per scontato che un’unica forma di autenticazione – le password – fosse più che sufficiente per proteggere i loro account. Sebbene alcune tra le aziende e le organizzazioni più grandi con una maggiore sensibilità alla sicurezza avessero adottato una forma di crittografia a chiave pubblica, nota come RSA, che impiegava 2 token di autenticazione separati per convalidare gli accessi degli utenti, al tempo molte imprese giudicavano simili soluzioni troppo costose e complicate da implementare. L’evoluzione dell’autenticazione multifattoriale ha ricevuto un primo impulso verso metà degli anni 2000, quando gli smartphone sono iniziati a diventare un genere di consumo. Dato che gli smartphone si dimostravano uno strumento eccezionale per incrementare la produttività al lavoro, anche le aziende hanno iniziato subito ad adottarli. Alcune hanno addirittura attuato politiche all’insegna del BYOD, autorizzando così i dipendenti a usare i propri dispositivi personali per lavorare e accedere alle risorse aziendali. Una volta che gli smartphone sono diventati onnipresenti nella vita privata e lavorativa, sono emerse soluzioni 2FA più pratiche che si sono diffuse permettendo a moltissime persone di proteggere i propri account. La possibilità di ricevere facilmente codici di autenticazione per e-mail o SMS rendeva finalmente l’intero concetto del 2FA più accettabile.Anni 2000-2010: le violazioni di dati spingono a richiedere un’adozione più diffusa del 2FA e dell’MFA
Mentre il mondo dei consumatori e quello imprenditoriale si andavano aprendo all’idea di usare le tecnologie 2FA ed MFA sugli smartphone a cavallo tra la decade del 2000 e quella del 2010, gli attacchi informatici e le violazioni di dati hanno cominciato a rappresentare una reale minaccia per la sicurezza e la riservatezza delle informazioni in rete. L’America ha assistito a un’imponente ondata di violazioni dei dati che non facevano distinzione tra settori produttivi, privati cittadini, industrie della difesa e organizzazioni governative. Sony Pictures Entertainment e l’Office of Personnel Management (OPM) sono solo due tra gli esempi di violazioni di profilo più elevato che sono salite agli onori della cronaca durante questo periodo. All’inizio del 2016, il presidente Obama ha scritto un editoriale per il Wall Street Journal in cui ha dichiarato che le password da sole non bastano a proteggere i consumatori e le imprese. Considerando che 9 americani su 10 avevano dichiarato di sentirsi come se avessero perso il controllo delle proprie informazioni personali, il presidente ha annunciato una nuova campagna di sensibilizzazione nazionale – #Turnon2FA – per incoraggiare i suoi connazionali a proteggersi online. Ben presto, gli smartphone hanno iniziato a supportare tecniche di autenticazione biometrica quali il riconoscimento del volto o dell’impronta digitale. Ciò ha dato un nuovo impulso all’evoluzione dell’autenticazione a più fattori, mettendo a disposizione di consumatori e imprese una gamma più completa di opzioni MFA tra cui scegliere per proteggere i propri account.Come si è evoluto l’MFA in risposta alle nuove minacce
Diversamente dal 2FA, che prevede due soli fattori (o forme) di autenticazione, l’MFA in genere verifica la vostra identità usandone tre: qualcosa che conoscete (come la risposta a una domanda di sicurezza); qualcosa che possedete (come un codice di sicurezza generato da un’app di autenticazione sul vostro smartphone); qualcosa che vi caratterizza (come l’impronta digitale, il volto o la voce). Con tre fattori di autenticazione a sorvegliare l’accesso ai vostri account, diventa molto più complicato per un criminale informatico cercare di impersonarvi e imboccare l’ingresso senza essere rilevato. Per quanto offra alle aziende una protezione molto più efficace rispetto alle sole password, neanche l’MFA può fare miracoli. Se, ad esempio, le informazioni personali degli utenti sono già state violate e un hacker le ha acquistate sul dark web, per questo criminale informatico sarà molto più semplice tentare di forzare l’accesso agli account in questione. Com’è noto, inoltre, gli utenti malintenzionati frugano tra i post pubblicati sui social alla ricerca di informazioni ghiotte da sfruttare, quindi potrebbero ricorrere a questo metodo per ottenere dati che possano aiutarli ad accedere agli account presi di mira. Alcuni metodi di autenticazione, inoltre, presentano vulnerabilità di sicurezza. Negli attacchi di scambio SIM, gli hacker possono forzare facilmente l’accesso al telefono di una persona e usarlo per completare l’autenticazione tramite SMS prima che la vittima se ne accorga. Se il telefono di una persona invece viene letteralmente rubato senza prima essere stato bloccato con una forma di autenticazione biometrica, come il riconoscimento facciale o digitale, violarne gli account per poi compromettere i dati sensibili dell’azienda per cui lavora diventa un gioco da ragazzi. L’autenticazione biometrica può essere perfino contraffatta se un hacker dispone di strumenti sufficientemente sofisticati, per cui è chiaro che l’MFA debba continuare a evolversi per assicurare protezione alle aziende. Come l’MFA ha aperto la strada a un futuro senza password Con la sua evoluzione, l’MFA ha inoltre aperto la strada a un futuro in cui le password non esisteranno più. Prima che entrasse in scena l’MFA, molti dipendenti conoscevano solo le password come forma di protezione. Bastava che un singolo dipendente avesse un approccio sbagliato alle password per comprometterne facilmente le credenziali, mettendo l’intera azienda in serio pericolo. Quando i dipendenti hanno acquisito familiarità con l’MFA per garantire maggiore protezione ai propri account e, di riflesso, ai dati aziendali, hanno scoperto che non era così complicato aggiungere diverse forme di autenticazione alla classica procedura di accesso basata su password. Ad esempio, un utente iOS o Android che riceveva un codice MFA tramite SMS poteva scegliere che venisse inserito nel prompt di verifica in automatico, anziché manualmente. Un utente che invece usava un’app per autenticarsi, poteva semplicemente aprirla, copiare il codice attivo e incollarlo direttamente nel prompt. L’autenticazione biometrica era ancora più pratica, perché bastava un tocco o uno sguardo per accedere. Dopo un po’ di tempo, compiere questi passaggi extra ha smesso di sembrare un fardello così pesante e, poco a poco, gli utenti hanno potuto contare su armi più affilate per difendersi da un possibile attacco informatico. Ora che le imprese e il loro organico padroneggiano l’MFA, si trovano in una condizione ideale per adottare opzioni di autenticazione senza password. Con un protocollo di autenticazione sicuro come FIDO2, per esempio, adesso potete usare l’MFA per sostituire le password o eliminarle del tutto. Dal momento che FIDO2 consente agli utenti di accedere facilmente ai servizi online autenticandosi con un dispositivo mobile o desktop tramite metodi con cui hanno già familiarità, come ad esempio la biometria, è molto probabile che l’autenticazione senza password risulti per i vostri dipendenti agevole e facile da usare come l’MFA. In questo modo, metteranno a profitto conoscenze che hanno già acquisito, anziché essere obbligati a imparare una cosa completamente nuova, donando alla vostra azienda la tranquillità di sapere che i propri dati sono custoditi meglio.Come LastPass MFA può aiutarvi a tenere la vostra azienda al sicuro
La tecnologia di autenticazione adattiva a più fattori di LastPass continua a evolversi per rispondere alle minacce più pericolose per la sicurezza informatica, come gli attacchi ransomware. Ecco in che modo i vantaggi dell’MFA possono esservi d’aiuto per proteggere la vostra azienda in un panorama di cibersicurezza così dinamico:- Autenticazione adattativa – l’MFA di LastPass ricorre a una combinazione di fattori unendo dati biometrici e contestuali per garantire l’identità di un utente, il che garantisce alla vostra azienda la migliore protezione possibile in un ambiente che continua a mutare.
- Esperienza di autenticazione senza password – i vostri dipendenti possono usare LastPass per accedere al proprio lavoro su qualsiasi dispositivo, fisso o mobile, senza dover usare una password.
- Opzioni MFA personalizzabili – LastPass offre alla vostra azienda opzioni flessibili per l’autenticazione. Potete creare e applicare forme di autenticazione a più fattori a livello di utente o di gruppo per garantire una sicurezza a 360°.
- Amministrazione MFA semplificata – LastPass aiuta il vostro team informatico ad applicare facilmente l’MFA a tutta una gamma di punti di accesso, incluso applicazioni cloud, connessioni VPN, postazioni di lavoro e fornitori di identità, consentendovi di passare a un’architettura di tipo Zero Trust e di migliorare il livello di sicurezza complessivo della vostra organizzazione.
