Phishing-resistant MFA (aka multi-factor authentication) è un metodo di autenticazione altamente sicuro progettato per rinforzare gli account utente contro gli attacchi di phishing. A differenza del tradizionale MFA, ancora suscettibile a tentativi di phishing, questo approccio integra diversi livelli di protezione per garantire una sicurezza superiore. Si avvale di avanzate tecniche come l’autenticazione biometrica, i token hardware e le notifiche push verso dispositivi fidati, rendendo estremamente complesso per gli aggressori impersonare gli utenti.
Probabilmente, avrete sentito parlare di un termine relativamente nuovo chiamato Phishing Resistant MFA. Che cos’è esattamente, quali sono i vantaggi e cosa significa per voi e per le vostre organizzazioni? Questo concetto può sembrare un po’ intimidatorio quando si muovono i primi passi, quindi iniziamo parlando del principio di autenticazione.
L’autenticazione è il processo in cui un utente conferma la propria l’identità. In altre parole, sei davvero la persona che dici di essere? Ogni volta che accedi a un sito web con il tuo nome utente e la tua password, stai autenticando. Spesso, l’autenticazione è abbinata all’autorizzazione. Una volta che sei autenticato (ad esempio, la tua identità è stata confermata), l’autorizzazione determina cosa puoi e non puoi fare. Quello di cui stiamo parlando oggi riguarda solo il pezzo sull’autenticazione.
Tradizionalmente, l’autenticazione si basava su una combinazione di nome utente e password. Il nome utente identifica chi sei, mentre la conoscenza della tua password conferma la tua identità. Il problema delle password è che risultano scomode e complesse per gli utenti e relativamente facili per gli attaccanti informatici da compromettere. Esistono varie modalità di compromissione delle password, inclusi siti di phishing che raccolgono le tue credenziali, malware che registra le tue tastate, individui che utilizzano password deboli e facili da indovinare, utenti che riutilizzano la stessa password su più account e siti web compromessi. Le password si sono rivelate una forma di autenticazione debole. Sebbene potessero essere considerate “abbastanza affidabili” dieci o vent’anni fa, oggi non sono più sufficienti per garantire la sicurezza.
Two-Factor Authentication
Considerata la mancanza di affidabilità del classico singolo fattore di autenticazione, è stato sviluppato un metodo di autenticazione notevolmente più robusto, noto come autenticazione a due fattori. L’espressione “a due fattori” indica che sono necessari due elementi, solitamente qualcosa che conosci (la tua password) e qualcosa che possiedi (il tuo dispositivo mobile) o qualcosa che sei (biometria). In questo modo, se la tua password venisse compromessa, la tua identità sarebbe ancora al sicuro, poiché un attaccante informatico non avrebbe accesso al secondo metodo (come il tuo dispositivo mobile). Questo concetto è simile a quello della tua carta bancomat quando prelevi denaro. Per effettuare un prelievo con successo, hai bisogno sia della tua carta bancomat che del codice PIN (per questo motivo, non dovresti mai scrivere il PIN sulla tua carta bancomat).
Questo approccio stratificato rappresenta un metodo notevolmente più efficace ed è adottato da molte organizzazioni e siti web. In effetti, l’autenticazione a due fattori sta rapidamente diventando uno standard, poiché si è dimostrata estremamente efficace nel contrastare gli attacchi basati sull’autenticazione. Tuttavia, ci sono diversi problemi.
Potenziali Problematiche con Two-Factor Authentication
Innanzitutto, dobbiamo concordare su come vogliamo chiamare questo concetto. Originariamente, il termine più comune era “autenticazione a due fattori”, poiché coinvolgeva due elementi. Tuttavia, sono spesso utilizzati altri nomi, tra cui “verifica a due passaggi”, “Strong Authentication” e “OTP (aka One-Time Password)”. Tuttavia, sembra che gran parte dell’industria stia adottando il termine “MFA (aka Multi-Factor Authentication)”. Spesso le persone sono confuse pensando che ci siano differenze tra questi termini (e a volte possono esserci), ma in generale si riferiscono alla stessa cosa. In seguito, in questo blog post utilizzeremo il termine MFA.
Multi-Factor Authentication
MFA viene spesso implementata con differenti modalità, tra quelle più comuni possiamo citare le seguenti:
Ci sono altre varianti di MFA, ma quasi tutte condividono una debolezza: è richiesta l’interazione umana. È necessario fare qualcosa con il codice che si riceve, e dove è richiesta l’interazione umana, le persone possono essere vittime di phishing. In altre parole, un attaccante può inserirsi nel processo di autenticazione. Dopo che una vittima accede a un sito web e ottiene il suo secondo fattore univoco, questo secondo fattore può essere estrappolato alla vittima e utilizzato dall’attaccante per ottenere l’accesso al sito web. In altre parole, questi approcci a MFA sono “phishable”.
Ora, prima di lasciarci prendere dal panico, ciascuno di questi metodi MFA è nettamente superiore rispetto all’uso di sole password. Dovremmo smettere di utilizzare MFA perché sono “phishable”? Assolutamente no, hanno un enorme valore. Tuttavia, gli attaccanti informatici miglioreranno sempre di più nell’approfittare del lato umano di questa questione. Dunque, quale sarà il prossimo passo?
Phishing-Resistant Multifactor Authentication
Phishing-Resistant Multifactor Authentication rappresenta sostanzialmente lo stesso processo di autenticazione precedentemente descritto, ma con un importante differenza, il fattore umano. Esistono diverse modalità di implementazione che coinvolgono i seguenti protocolli:
Vediamo assieme l’approccio più diffuso attualmente, noto come FIDO.
FIDO è uno standard creato anni fa dalla FIDO Alliance, un consorzio no-profit composto da diverse organizzazioni di tutto il mondo. Questo standard, neutrale rispetto ai fornitori, è stato adottato dalla maggior parte dei grandi attori, tra cui Google, Amazon, Microsoft e Apple. Se sentite parlare di “WebAuthn”, si tratta della tecnologia che supporta e facilita l’implementazione dello standard FIDO. A un livello elevato, FIDO e WebAuthn fanno riferimento alla stessa soluzione (lo specifico perché talvolta può creare confusione).
Ma come funziona in pratica?
Durante la creazione di un account online (o l’aggiornamento di un account esistente per utilizzare FIDO), si registra il dispositivo sul sito web. Questo dispositivo può assumere la forma di un token speciale (come una chiavetta YubiKey) oppure si può utilizzare il dispositivo mobile (come lo smartphone) come token. Durante la registrazione del dispositivo, questo e il sito web generano una coppia di chiavi crittografiche unica per l’account (conosciuta come crittografia asimmetrica o crittografia a chiave pubblica). Non è necessario comprendere i dettagli tecnici, ma il risultato è che, basandosi su questa coppia di chiavi, il sito web ora ‘riconosce’ e accetta il dispositivo come affidabile. In futuro, per accedere al sito, l’utente si autentticherà semplicemente con il dispositivo, spesso senza richiedere una password, realizzando così un’esperienza di autenticazione passwordless.
Dal punto di vista dell’utente (la cui esperienza può variare da sito web a sito web e da dispositivo a dispositivo), tutto ciò che occorre è verificarsi con il dispositivo quando si visita un sito per cui si ha un account. Questa verifica può avvenire collegando il dispositivo alla porta USB del computer o utilizzando tecnologie wireless come NFC (comunicazioni in prossimità). Per garantire che sia effettivamente l’utente con il suo dispositivo (e non qualcuno che tenta di rubare il dispositivo e autenticarsi al suo posto), viene richiesto di dimostrare l’identità tramite la biometria (impronta digitale, scansione del viso, ecc.). Dal punto di vista dell’utente, l’intero processo di autenticazione si riduce essenzialmente all’utilizzo della biometria.
Ma qual è il flusso di autenticazione con Fido2/WebAuthN?
Differenze tra U2F (primo standard introdotto dalla FIDO Alliance) e FIDO2/WebAuthN?
Le principali differenze tra i due standard sono:
In sintesi, mentre entrambi i flussi mirano a migliorare la sicurezza dell’autenticazione, FIDO2/WebAuthn offre una maggiore flessibilità nei metodi di autenticazione e supporta l’esperienza senza password, mentre U2F si concentra principalmente sul secondo fattore fisico. La scelta tra i due dipenderà dalle esigenze specifiche di autenticazione e dalle preferenze di implementazione.
L’efficacia di questo approccio deriva dalla mancanza di un codice univoco da sottrarre o ingannare alle persone. Quasi tutte le operazioni avvengono tra il dispositivo e il sito web. L’unica interazione umana necessaria è la biometria, una pratica a cui le persone sono già abituate nella vita quotidiana. Così, otteniamo una soluzione non solo molto più sicura perché resiste notevolmente agli attacchi di phishing, ma anche molto più semplice per le persone da utilizzare. Questa tecnologia elimina tutti i rischi? No. Man mano che viene ampiamente adottata, si svilupperanno nuove minacce, ma sarà SENZ’ALTRO più difficile per gli attaccanti.
È fondamentale comprendere che, FIDO rappresenta una difesa estremamente efficace contro gli attacchi di phishing; tuttavia, l’adozione di FIDO non implica automaticamente l’immunità totale dell’organizzazione dal phishing. Un vasto numero di attacchi di phishing sfugge al contesto delle password, coinvolgendo elementi come allegati infetti nelle email, attacchi Business Email Compromise (BEC) o richieste di chiamate telefoniche. In fase di Reconnaissance, gli attacchi di phishing più efficaci possono potenzialmente ridursi a brevi messaggi contenenti un singolo numero di telefono da contattare per la vittima.
È dunque fondamentale tenere presente che, sebbene le soluzioni di autenticazione robusta, come l’MFA basato su FIDO, dimostrino una resistenza straordinaria agli attacchi di phishing, un significativo numero di scenari di phishing prescinde completamente dall’ambito dell’autenticazione.
Conclusioni
L’implementazione di un sistema di autenticazione multi-fattore (MFA) resistente al phishing rappresenta un passo fondamentale verso la creazione di ambienti digitali più sicuri e protetti. Soluzioni avanzate, come l’MFA basato su FIDO, si ergono come baluardi potenti contro gli attacchi di phishing, garantendo un’identità digitale robusta e affidabile. Tuttavia, è imperativo rimanere vigili e consapevoli che, nonostante l’efficacia di tali misure, il panorama delle minacce continua a evolversi. La perseveranza nella ricerca e nell’adozione di metodologie sempre più sofisticate è essenziale per garantire una difesa continua e adeguata contro le sempre mutevoli tattiche degli attaccanti. In questa prospettiva, abbracciamo con entusiasmo l’opportunità di plasmare un futuro digitale in cui la sicurezza e l’innovazione procedano di pari passo, offrendo così un ambiente online affidabile e resiliente per tutti.
#StayTuned on Technical365!!