Lo scopo principale dell'utilizzo del software di autenticazione multi-fattore (MFA) è aumentare la sicurezza quando gli utenti accedono agli account. Le aziende utilizzano questo software per garantire che solo gli utenti autorizzati, come dipendenti, appaltatori o clienti, abbiano accesso sicuro a specifici account aziendali. Questo aiuta a prevenire sia le minacce interne, come i dipendenti non autorizzati che accedono a dati sensibili, sia le minacce esterne, come i criminali informatici che utilizzano attacchi di phishing per violazioni dei dati, dall'accesso agli account riservati.
L'MFA richiede agli utenti di completare passaggi di autenticazione aggiuntivi per dimostrare la loro identità prima di ottenere l'accesso ad applicazioni, sistemi o informazioni sensibili. Il software aiuta a proteggere gli account fornendo ulteriore sicurezza utilizzando un approccio di autenticazione a più livelli e passaggi. Generalmente, il primo passo per autenticare l'identità di un utente include un processo di accesso standard con nome utente e password. Dopo questo tentativo di accesso iniziale, il secondo passo potrebbe richiedere agli utenti di inserire un codice fornito da un'app software su un dispositivo mobile, un token hardware come un portachiavi, o un codice inviato a un utente tramite messaggio di testo (SMS), email o chiamata telefonica. Altri passaggi di autenticazione potrebbero includere la presentazione di un dato biometrico come un'impronta digitale o un riconoscimento facciale, o la presentazione di altri segnali identificativi come l'indirizzo IP tipico dell'utente, l'ID del dispositivo o tramite fattori comportamentali verificati da strumenti di autenticazione basati sul rischio (RBA).
Cosa Significa MFA?
MFA sta per autenticazione multi-fattore. Richiede due o più fattori di autenticazione diversi. Questo software può anche essere chiamato autenticazione a due fattori (2FA) o verifica a due passaggi quando si utilizzano esattamente due fattori di autenticazione diversi.
Quali sono i fattori di autenticazione?
Il software MFA richiede agli utenti di autenticarsi con alcuni o tutti i seguenti cinque fattori:
Autenticazione a fattore singolo: L'autenticazione a fattore singolo richiede agli utenti di autenticarsi con qualcosa che sanno. L'autenticazione a fattore singolo più comune è l'autenticazione basata su password. Questa è considerata insicura perché molte persone usano password deboli o password facilmente compromesse.
Autenticazione a due fattori: L'autenticazione a due fattori richiede agli utenti di autenticarsi con qualcosa che hanno. Richiede agli utenti di fornire le informazioni che hanno, di solito, un codice fornito da un'app di autenticazione sui loro dispositivi mobili, SMS o messaggio di testo, token software (soft token) o token hardware (hard token). Il codice fornito può essere una password monouso basata su HMAC (HOTP) che non scade fino a quando non viene utilizzata, o una password monouso basata sul tempo (TOTP) che scade in 30 secondi.
Autenticazione a tre fattori: L'autenticazione a tre fattori richiede agli utenti di autenticarsi con ciò che sono. Tiene conto di qualcosa di unico per l'utente come i fattori biometrici. Possono includere scansioni delle impronte digitali, geometria delle dita, scansioni del palmo o della geometria della mano e riconoscimento facciale. L'uso delle biometrie per l'autenticazione sta diventando sempre più comune poiché i login biometrici sui dispositivi mobili, inclusi software di riconoscimento facciale e capacità di scansione delle impronte digitali, hanno guadagnato popolarità tra i consumatori. Altri metodi di autenticazione biometrica, come il riconoscimento della forma dell'orecchio, le impronte vocali, le scansioni della retina, le scansioni dell'iride, il DNA, l'identità dell'odore, i modelli di andatura, i modelli delle vene, l'analisi della scrittura a mano e della firma, e il riconoscimento della digitazione, non sono ancora stati ampiamente commercializzati per scopi MFA.
Autenticazione a quattro fattori: L'autenticazione a quattro fattori richiede agli utenti di autenticarsi con dove si trovano e quando. Considera la posizione geografica di un utente e il tempo impiegato per arrivarci. Di solito, questi metodi di autenticazione non richiedono a un utente di autenticare attivamente queste informazioni, invece, questo avviene in background quando si determina il rischio di autenticazione di un utente specifico. L'autenticazione a quattro fattori verifica la geolocalizzazione di un utente, che indica dove si trovano attualmente e la loro geo-velocità, che è il tempo ragionevole che impiega una persona per viaggiare verso una determinata posizione. Ad esempio, se un utente si autentica con un fornitore di software MFA a Chicago e 10 minuti dopo tenta di autenticarsi da Mosca, c'è un problema di sicurezza.
Autenticazione a cinque fattori: L'autenticazione a cinque fattori richiede agli utenti di autenticarsi con qualcosa che fanno. Si riferisce a gesti specifici o modelli di tocco che gli utenti generano. Ad esempio, utilizzando uno schermo tattile abilitato con un sistema operativo relativamente nuovo, che supporta la funzione, gli utenti possono creare una password immagine dove disegnano cerchi, linee rette o toccano un'immagine per creare una password gesto unica.
Quali Tipi di Software di Autenticazione Multi-Fattore (MFA) Esistono?
Esistono diversi tipi di software MFA. Oltre alla funzionalità standard MFA, molte aziende si stanno orientando verso il software RBA, noto anche come MFA intelligente, che utilizza il monitoraggio del rischio per determinare quando richiedere agli utenti l'autenticazione. I diversi tipi di metodi di autenticazione possono includere:
App mobili: Un modo comune in cui gli utenti preferiscono autenticarsi è utilizzando l'app mobile del software MFA.
Token software: I token software consentono agli utenti di utilizzare app mobili MFA, inclusi dispositivi indossabili. L'uso dei token software è considerato più sicuro rispetto all'uso di OTP tramite SMS, poiché questi messaggi possono essere intercettati dagli hacker. I token software possono essere utilizzati offline, rendendolo conveniente per gli utenti finali che potrebbero non avere accesso a Internet.
Notifiche push: Le notifiche push semplificano l'autenticazione per gli utenti finali. Una notifica viene inviata al dispositivo mobile di un utente chiedendo loro di approvare o negare la richiesta di autenticazione. La comodità è cruciale per l'adozione da parte degli utenti degli strumenti MFA.
Token hardware: I token hardware sono pezzi di hardware che gli utenti portano con sé per autenticare la loro identità. Esempi includono portachiavi OTP, dispositivi USB e smart card. Problemi comuni con i token hardware includono il costo dell'hardware più il costo aggiuntivo delle sostituzioni quando gli utenti li perdono.
Password monouso (OTP) via SMS, voce o email: Gli utenti che non possono utilizzare app mobili sui loro telefoni possono optare per l'uso di OTP inviati ai loro dispositivi mobili tramite messaggio di testo SMS, chiamata vocale o email. Tuttavia, ricevere codici di autenticazione tramite SMS è considerato uno dei modi meno sicuri per autenticare gli utenti.
Software di autenticazione basata sul rischio (RBA): L'RBA, noto anche come MFA intelligente o adattivo, utilizza informazioni in tempo reale sugli utenti finali per valutare il loro rischio e invitarli ad autenticarsi quando necessario. Il software RBA analizza indirizzi IP, dispositivi, comportamenti e identità per impostare metodi di autenticazione personalizzati per ciascun utente distinto che tenta di accedere alla rete.
Autenticazione senza password: L'autenticazione senza password, nota anche come autenticazione invisibile, si basa su fattori RBA come la posizione, l'indirizzo IP e altri comportamenti degli utenti. Le notifiche push sono considerate autenticazione senza password, poiché un utente non è tenuto a inserire un codice, ma semplicemente a accettare o rifiutare una richiesta di autenticazione.
Biometria: I fattori di autenticazione biometrica, come il riconoscimento facciale e delle impronte digitali, stanno guadagnando popolarità tra i consumatori, e quindi, i fornitori di software MFA stanno iniziando a supportarli. Attualmente, altri fattori biometrici, come la scansione dell'iride, non sono disponibili negli strumenti MFA. Un problema con l'uso delle biometrie per l'autenticazione è che una volta compromesse, sono compromesse per sempre.
MFA come servizio: Collegandosi alle directory basate su cloud di un'azienda, alcuni fornitori di MFA offrono soluzioni MFA basate su cloud come servizio. Queste spesso supportano più metodi di autenticazione, incluse notifiche push, token software, token hardware, autenticazione online e offline, e biometria.
MFA on-premises: Le soluzioni MFA on-premises funzionano sul server di un'azienda. Molti fornitori di software stanno eliminando gradualmente questi tipi di soluzioni MFA e spingendo i clienti verso soluzioni basate su cloud.
MFA disponibile offline: Gli utenti che devono autenticarsi, ma non hanno accesso a Internet, possono utilizzare soluzioni MFA con supporto offline. Ad esempio, molti dipendenti federali lavorano in ambienti controllati e sicuri e potrebbero non avere accesso a Internet. I dipendenti civili del governo federale potrebbero utilizzare carte di verifica dell'identità personale (PIV) per autenticarsi, mentre i dipendenti del Dipartimento della Difesa si autenticano utilizzando una carta di accesso comune (CAC). Per i civili generali, possono autenticarsi offline utilizzando un'app mobile con accesso offline agli OTP o una che utilizza una chiave di sicurezza U2F basata su hardware.
Soluzioni aziendali: Le aziende che gestiscono distribuzioni MFA a molti utenti necessitano di soluzioni robuste e opteranno per software con console amministrative, visibilità degli endpoint e connessione con software di single sign-on (SSO).
