Oggi giorno, per adottare una soluzione MFA basata sullo standard FIDO2, un'organizzazione deve prima implementare un servizio MFA, quindi deve acquistare, distribuire e gestire chiavi di sicurezza hardware, il che aumenta in maniera significativa i costi e le complessità operative. Un'altra sfida posta dalle chiavi di sicurezza fisiche è che l'esperienza dell'utente finale è tutt'altro che ideale, in quanto le persone tendono a perdere o dimenticare le loro chiavi, con conseguenti chiamate aggiuntive all'help desk IT.
L'autenticazione multifattore (MFA) è una tecnologia di sicurezza che utilizza diversi fattori di autenticazione per la verifica dell'identità quando gli utenti accedono ai servizi online. L'MFA richiede a un utente di combinare due o più fattori di autenticazione, che possono includere qualcosa che conoscono (come una password o un PIN), qualcosa di cui dispongono (come una smart card o una notifica push) e qualcosa che sono (come un'impronta digitale).
L'MFA aiuta a creare livelli di sicurezza aggiuntivi che rendono più difficile per gli utenti non autorizzati e gli autori di attacchi ottenere l'accesso a reti, sistemi e servizi. Questo approccio alla verifica dell'identità degli utenti su più livelli garantisce che, nel caso in cui uno dei fattori di autenticazione venga compromesso, esistano ulteriori barriere ad impedire l'accesso.
Perché è necessaria una MFA?
Dal momento che gli attacchi informatici diventano sempre più frequenti e sofisticati, molte imprese stanno adottando soluzioni di autenticazione multifattore (MFA) per proteggere gli account dei loro dipendenti. Circa l'80% delle violazione di dati avviene tramite l'uso di credenziali di dipendenti rubate o compromesse o di accessi di forza bruta che usano strumenti automatizzati per violare le password. Fare affidamento solo su password che possono essere facilmente indovinate o compromesse significa che oggi un potente metodo di autenticazione degli utenti è una necessità per i programmi di gestione degli accessi e delle identità delle imprese. Un potente metodo di autenticazione degli utenti è anche un requisito chiave per un approccio alla sicurezza Zero Trust.
Le lacune di sicurezza correlate alle soluzioni MFA
L'aggiunta dell' autenticazione multifattore alla vostra soluzione di gestione degli accessi e delle identità dei dipendenti ridurrà il rischio di attacchi per il controllo dei loro account. Tuttavia, ora i criminali informatici stanno adottando nuove tecniche di attacco per bypassare le soluzioni MFA. Ora gli hacker possono sfruttare a loro vantaggio i servizi MFA che usano notifiche push, come messaggi di testo, password monouso o link contenuti nelle e-mail. Questi attacchi utilizzano, in genere, tecniche di phishing e social engineering o credential stuffing per indurre un dipendente ad accettare la notifica push. Ciò significa che, a meno che un servizio MFA non sia rafforzato da funzioni di sicurezza aggiuntive, molte delle tecnologie di autenticazione multifattore di oggi lasciano le aziende esposte al rischio.
Colmare le lacune di sicurezza correlate alle soluzioni MFA
Akamai MFA è una soluzione di autenticazione multifattore di nuova generazione che abilita l'autenticazione anti-phishing sfruttando un servizio FIDO2, il più potente metodo di autenticazione basato su standard disponibile sul mercato. Con Akamai MFA, potete rafforzare la sicurezza dell'autenticazione degli utenti e ridurre il rischio di controllo degli account dei vostri dipendenti e di violazione dei dati, continuando a supportare la rete Zero Trust. Offre anche una solida base per il passaggio all'autenticazione senza password.
Una soluzione MFA può essere attaccata?
Anche se la sicurezza MFA è un considerevole miglioramento rispetto all'autenticazione a due fattori, che richiede solo nome utente e password per accedere agli account online, l'autenticazione multifattore viene sempre più presa di mira dai criminali informatici per ottenere l'accesso non autorizzato.
Esistono numerosi fattori che possono essere usati per l'autenticazione multifattore:
- Qualcosa che conoscete, come una password o un PIN
- Qualcosa di cui disponete, come una smart card, un token, una password monouso (OTP) o un codice tramite SMS
- Qualcosa che siete, come il riconoscimento facciale, uno schema vocale o parlato o la scansione biometrica dell'impronta digitale
Tuttavia, molti di questi fattori possono venire compromessi o bypassati dai criminali informatici. I fattori presi di mira con più frequenza sono le notifiche push, come SMS, password monouso (OTP) e link e-mail.
In che modo le notifiche push MFA vengono sfruttate dai criminali informatici?
Una delle tecniche più usate consiste nell'impiegare una combinazione di attacchi di phishing e social engineering. L'attacco inizia con l'invio a un dipendente di un-e-mail di phishing che sembra provenire dal reparto IT della sua azienda. L'e-mail gli chiede di fare clic su un link al suo interno per convalidare nome utente e password, ma questa operazione porta il dipendente a una pagina di accesso contraffatta creata dal criminale informatico.
Una volta ottenute queste credenziali, l'autore di attacchi porta il dipendente alla pagina di accesso legittima, il che attiva l'invio della notifica push al suo dispositivo mobile. A questo punto, il dipendente crede che la notifica push sia legittima e la accetta volentieri, il che vuol dire che sono stati inseriti due fattori di identificazione e che l'autore di attacchi ha ottenuto l'accesso non autorizzato all'account del dipendente.
Inoltre, gli autori di attacchi potrebbero anche usare tecniche di social engineering, come telefonare al dipendente o inviargli un messaggio per infondere un senso di urgenza riguardo alla richiesta originaria tramite e-mail.
Ciò significa che l'unica cosa che può impedire il controllo degli account dei dipendenti è la capacità dei dipendenti stessi di capire la differenza tra una notifica push legittima e una progettata dall'autore di un attacco.
La sicurezza MFA può essere migliorata?
La soluzione per la sicurezza in grado di ottimizzare l'MFA e garantire che non possa venire bypassata è FIDO2, uno standard settoriale gestito da FIDO Alliance. In parole semplici, funziona creando una connessione crittografica tra il tentativo di autenticazione e la sfida MFA. Ciò significa che gli autori di attacchi non possono usare le credenziali rubate o compromesse o indurre gli utenti a inserire le loro credenziali in una pagina di accesso falsificata. Questo metodo rende praticamente impossibile violare una soluzione MFA.
MFA anti-phishing con Akamai
Akamai MFA è un servizio di autenticazione multifattore per la forza lavoro che aggiunge un livello di sicurezza extra offrendo una solida autenticazione secondaria per applicazioni cloud, basate sul web, on-premise, SaaS e IaaS.
Akamai MFA fa affidamento agli standard FIDO2, che offrono i più elevati livelli di sicurezza MFA. Questi standard impediscono il phishing inviando sempre la richiesta di autenticazione alla workstation da cui ha avuto origine la richiesta di accesso. Pertanto, il tentativo di un autore di attacchi di accedere con credenziali rubate attiverà l'invio di una notifica push alla sua workstation, piuttosto che al telefono di un dipendente, impedendo il potenziale controllo dell'account.
Inoltre, con Akamai MFA, il browser invia alla chiave di sicurezza i dati, oltre alla richiesta di autenticazione. Questi dati includono il nome del dominio di origine che ha richiesto l'autenticazione, consentendo alla chiave di sicurezza di riconoscere un'eventuale mancata corrispondenza tra il nome del dominio di un sito registrato e il nome del dominio falsificato o di phishing che richiede l'autenticazione.
Sebbene gli standard FIDO2 aumentino la sicurezza in modo significativo, possono anche essere difficili da implementare in quanto le chiavi di sicurezza fisiche sono costose e complicate da gestire. Akamai MFA supera questa sfida con un'app di autenticazione tramite smartphone al posto di una chiave di sicurezza fisica. La crittografia end-to-end e un flusso di verifica/risposta chiuso rende il processo di autenticazione riservato proteggendolo dagli attacchi di phishing. Ciò elimina la necessità di chiavi di sicurezza hardware costose e complicate.
I vantaggi di Akamai MFA
Implementata su Akamai Connected Cloud, la soluzione Akamai MFA può essere attivata e gestita a livello centralizzato, con una scalabilità globali in termini di resilienza e performance. Con questa soluzione innovativa, potete:
Ridurre i rischi affidandovi agli standard di autenticazione FIDO2 per impedire violazioni che hanno origine da attacchi di phishing e social engineering.
Offrire ai dipendenti un'esperienza moderna che utilizza gli smartphone e le consuete notifiche push per poter accedere ai loro account con un secondo fattore.
Implementare rapidamente la sicurezza MFA tramite un'app mobile installata sui cellulari esistenti dei dipendenti, eliminando la necessità di distribuire chiavi di sicurezza fisiche o hardware compatibile.
Ridurre il TCO (costo totale di proprietà) usando gli standard FIDO2 con gli smartphone e i browser web esistenti, evitando la necessità di acquistare, sostituire e gestire altre apparecchiature hardware.
Implementare la sicurezza Zero Trust facendo affidamento sui protocolli di autenticazione e autorizzazione più affidabili del settore.
Effettuare investimenti a prova di futuro in tecnologie MFA con un servizio MFA sul cloud progettato per evolversi in modo da supportare futuri casi di utilizzo come l'autenticazione senza password e l'SSO.
In aggiunta all'autenticazione multifattore, la gamma di prodotti per la sicurezza Zero Trust di Akamai include soluzioni per l'accesso sicuro alle applicazioni remote senza doversi sempre affidare alle VPN, una soluzione di microsegmentazione per limitare il movimento laterale e ridurre il rischio di attacchi ransomware e un SWG (Secure Web Gateway) in grado di bloccare l'accesso ai contenuti web dannosi.
Domande frequenti (FAQ)
Spesso questi termini vengono usati ambiguamente in modo intercambiabile. La definizione più comunemente accettata dell'autenticazione a due fattori è un'autenticazione che fa affidamento solo sull'identità dell'utente e su una password. L'MFA è diversa dall'autenticazione a due fattori in quanto richiede uno o più fattori di sicurezza aggiuntivi che devono essere inseriti dall'utente. Ad esempio, dopo che l'utente ha inserito la combinazione corretta di nome utente e password, la soluzione MFA chiede di fornire uno o più fattori aggiuntivi per ottenere l'accesso alla risorsa desiderata.
Le identità degli utenti compromesse o rubate sono usate frequentemente dai criminali informatici per ottenere l'accesso agli account di dipendenti o sistemi. L'aggiunta di una soluzione MFA alla vostra gestione degli accessi e delle identità aggiunge ulteriori livelli di sicurezza che rafforzano l'autenticazione degli utenti, il che riduce il rischio di controllo dell'account che spesso porta a violazioni dei dati e attacchi ransomware. Un potente metodo di autenticazione è una componente essenziale dei sistemi di sicurezza aziendali, quali Zero Trust e SASE, e ricopre un ruolo vitale nella sicurezza dello smart working.
La tecnologia MFA adattiva applica regole di sicurezza aggiuntive al processo di autenticazione degli utenti. Le regole di sicurezza possono basarsi su una serie di parametri, ad esempio la posizione dell'utente, il momento in cui viene effettuata la richiesta e la strategia di sicurezza del dispositivo. Ad esempio, se un dipendente si trova a New York e la richiesta di autenticazione viene effettuata da Sydney su un dispositivo sconosciuto, il servizio MFA potrebbe richiedere un fattore aggiuntivo, come l'impronta digitale o la scansione del viso, per assicurarsi che la richiesta sia legittima.
La tecnologia SSO (Single Sign-On) è un sistema di sicurezza che consente ai dipendenti di effettuare l'accesso un'unica volta e ottenere, quindi, l'accesso rapido a molteplici applicazioni. Ciò elimina la necessità per i dipendenti di ricordare le credenziali di accesso delle singole applicazioni e riduce le attività di gestione da parte dei team di sicurezza informatica.
Perché i clienti scelgono Akamai
Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, la nostra innovativa intelligence sulle minacce e il nostro team operativo su scala globale forniscono una difesa approfondita in grado di proteggere i dati e le applicazioni aziendali ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi, grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere la loro attività senza rischi.