Chiamata in inglese MFA o multi-factor authentication e in italiano autenticazione multi-fattore, con questi termini in realtà indichiamo una tecnica di sicurezza informatica attraverso la quale è possibile introdurre due o più metodi di autenticazione per verificare l’identità di un utente che deve effettuare l’accesso ad un’applicazione web-based, ad un account o a qualsiasi altro servizio online.
In particolare, viene definita multi-factor perché richiede la combinazione di due o più tecnologie indipendenti per permettere verificare l’identità dell’utente e autorizzarne l’accesso.
L’obiettivo della multi-factor authentication è sicuramente quello di incrementare il livello di protezione per l’accesso alle piattaforme web-based. In questa circostanza, se anche uno dei livello di autenticazione viene compromesso da un attaccante (o un hacker), la presenza degli altri metodi fa sì che l’accesso non sia comunque possibile. Questo perché ad oggi la sola presenza di un nome utente e una password a protezione degli account, non sono più sufficienti.
Sommario degli argomenti
-
Il processo di autenticazione
-
Autenticazione a un fattore
-
Autenticazione a due o più fattori
-
L’esempio di SPID
-
Come funziona la Multifactor Authentication
-
Servizi che offrono l’autenticazione a due fattori
-
Tipi di secondo fattore
-
Quando la MFA non è obbligatoria
-
Conclusioni
Avete mai notato che, quando entrate nel sito web della vostra banca (altresì definita piattaforma home banking) vi vengono richiesti più dati per accedere? In primo step solitamente viene richiesto l’inserimento di un nome utente e di una password. Successivamente, la piattaforma richiede l’inserimento di un codice OTP o di un PIN che vi è stato inviato tramite smartphone. Addirittura, i più moderni sistemi di autenticazione richiedono l’autenticazione per mezzo di dati biometrici: l’impronta del dito, il riconoscimento del viso o vocale.
L’insieme di questi step che è necessario superare per accedere al servizio online viene definita multi-factor authentication.
L’autentificazione a più fattori non è soltanto consigliata perché sicura, in realtà è in molti casi viene anche imposta dalle stesse piattaforme (come ad esempio da quelle della banca) come processo obbligatorio.
Prima di tutto c’è da sapere che l’identità di un utente connesso a Internet viene verificata tramite due funzionalità di sicurezza informatica:
-
L’identificazione;
-
L’autentificazione.
La prima funzionalità si riferisce al momento in cui una persona dichiara la sua identità a un sistema.
La seconda, invece, è la tecnica con cui tale identità viene verificata. In altre parole: prima ci presentiamo al sistema dando il nostro username, e poi forniamo una prova della nostra identità.
L’uso di tecniche e processi di autenticazione ha come obiettivo principale la tutela della sicurezza e della privacy degli utenti.
Riduce, infatti, il rischio di accesso incontrollato e non autorizzato a informazioni e dati personali.
La fase di autenticazione può avvenire in tre modi differenti.
Si basa su:
-
Ovvero “qualcosa che il soggetto conosce”, come una password o un codice PIN.
-
“qualcosa che il soggetto possiede”, come uno smartphone o un token.
-
Ovvero “qualcosa che il soggetto è”, come un dato biometrico.
Il metodo di autenticazione più diffuso è la password.
Infatti, quando entriamo su qualsiasi account web ci viene chiesto, insieme al nostro nome utente, la password identificativa.
Quest’ultima, per garantire una maggiore sicurezza, deve essere una password robusta o una password forte.
Deve, cioè, rispettare alcuni criteri. Per esempio, essere composta da una frase, avere al suo interno caratteri speciali e una lunghezza di 10-12 caratteri.
Vista la grande diffusione di questo metodo di identificazione, si stima che un singolo utente debba ricordare in media un centinaio di password.
Per questo, sono ormai diffusi i software di password manager, per conservare le chiavi di accesso in un luogo sicuro e crittografato.
Tuttavia, pur usando tutte le accortezze necessarie, le password potrebbero essere facilmente rubate o scoperte.
Sono infatti frequenti furti massivi di credenziali. Inoltre, l’utente potrebbe cadere vittima di un attacco phishing e perdere così facilmente l’accesso sicuro ai proprio account.
Insomma, è evidente che quest’ultimo, pur essendo un metodo di autenticazione molto usato, non è del tutto sicuro.
Infatti, l’autenticazione basata sul solo inserimento di password è di per sé un proceso debole, anche se la password è robusta.
Questo perché in questo caso identificazione e autenticazione si riducono all’inserimento di un solo fattore.
Chiunque conosca quel fattore, ottiene l’accesso ai dati. Questo vale per la password, ma anche per qualsiasi metodo di autenticazione preso singolarmente.
Ma quindi come fare ad aumentare la sicurezza dei nostri account e dispositivi?
Abbiamo dunque compreso che l’uso di uno solo fattore è considerato un’autentificazione debole.
Anche se ci sentiamo al sicuro e anche se non abbiamo dato a nessuno i nostri dati.
Quando due fattori iniziano a combinarsi tra loro si passa invece a un’autentificazione forte. L’autentificazione è tanto più forte quanti più fattori si combinano.
La MFA (Multifactor Authentication) è oggi il metodo di protezione più sicuro per i nostri account.
Andrebbe utilizzato non soltanto per l’accesso alle piattaforme bancarie, ma anche per tutti gli account che danno l’accesso a dati sensibili. Ad esempio, la MFA è certamente fondamentale per l’accesso all’e-mail personale, ai servizi cloud e agli account aziendali.
Attenzione, però!
Per poter essere definita autenticazione a due o più fattori, un’autenticazione deve essere composta da fattori di diversa matrice.
Per esempio, da “qualcosa che il soggetto ha” come uno smartphone, e “qualcosa che il soggetto è” come l’impronta digitale.
Un esempio esplicativo dei tanti livelli di autenticazione è il sistema SPID.
Nel sistema pubblico di identificazione digitale, infatti, esistono ben tre livelli che permettono di accedere a servizi sempre più riservati.
- Lo SPID di livello 1 prevede la sola emissione del codice utente (e-mail o codice fiscale, che chiunque può conoscere) e della password.
I servizi a cui si accede sono informativi. - Lo SPID di livello 2 prevede l’uso di due fattori di autenticazione. Ci sono diverse modalità fornite dagli identity provider che permettono l’accesso ai siti di servizi pubblici.
- Lo SPID di livello 3 (a oggi erogato solo da Poste) è analogo all’uso della CIE (carta d’identià elettronica) e garantisce l’identità del soggetto come davanti a un pubblico ufficiale. È a tutti gli effetti una combinazione di utilizzo di molti fattori (carta d’identità, PIN, telefono personale).
Il funzionamento pratico dell’autenticazione a più fattori è in realtà molto semplice.
Comporta solamente un passaggio in più del semplice inserimento credenziali.
Dopo aver inserito username e password dell’account (il primo fattore), l’accesso non sarà automatico.
Verrà richiesto, invece, un secondo fattore, normalmente un codice a tempo sullo smartphone, via SMS o tramite app.
Questo secondo fattore è di solito o un dato biometrico o un PIN. Quando è un PIN, si tratta di un OTP (“one time password”) cioè di un codice di durata limitata, generato in maniera casuale da un algoritmo. Per questo motivo, è inattaccabile.
Invece, quando il secondo fattore richiesto è un dato biometrico, si tratta di solito dell’impronta digitale da fornire attraverso lo smartphone.
Essendo i dati biometrici identificativi della persona, questo metodo ha un elevato grado di sicurezza.
In questo modo, si può affermare con ragionevole certezza che ad effettuare, per esempio, una transazione bancaria siamo proprio noi.
In ambito bancario, l’autenticazione multifattoriale online viene usata da anni.
Ormai è persino stata resa obbligatoria dalla direttiva (UE) 2015/2366 nota come Payment Services Directive 2. Secondo questa legge, l’autenticazione a due o più fattori è obbligatoria quando:
-
Un pagatore accede al suo conto online.
-
Un utente dispone un’operazione di pagamento elettronico.
-
Si commette qualsiasi azione che potrebbe essere a rischio di frode o altri abusi.
In realtà, tutti i siti web o servizi online all’avanguardia rendono disponibile l’attivazione dell’autenticazione a due fattori.
Però, in forma facoltativa. È quindi l’utente a doverla attivare.
Troviamo la possibilità di attivare l’autenticazione a due fattori per esempio su Amazon, Apple ID, Dropbox, Facebook, Microsoft, LinkedIn, ecc.
Esiste un sito dal nome “Two Factor Auth” che offre un elenco completo dei siti web che prevedono questa opzione, evidenziando anche la tipologia di secondo fattore disponibile.
Per ora abbiamo fatto qualche esempio, ma ecco quali sono i fattori di autenticazione disponibili a fornire una protezione elevata ai vostri account.
Presupponendo che il primo siano comunque l’inserimento di credenziali.
-
PIN via SMS
È la modalità più diffusa, ma in realtà la meno sicura.
Attivare come secondo fattore l’invio di un PIN via SMS implica, infatti, fornire il numero di telefono.
Inoltre, per ricevere SMS, lo smartphone deve essere collegato alla rete. È diffuso un tipo di frode chiamato SIM swap fraud, in cui il malintenzionato accede al conto bancario tramite phishing. E poi si procura una SIM con lo stesso numero di telefono della vittima, per ricevere il PIN. Quando il malcapitato si renderà conto che la sua SIM non è più attiva potrebbe essere troppo tardi e il suo conto corrente potrebbe registrare importanti ammanchi. -
Soft Token
Si tratta di applicazioni dedicate all’autenticazione. Questi software non richiedono né la copertura telefonica né la condivisione del numero di telefono.
Per questo motivo sono considerate più sicure, essendo collegate solo al dispositivo su cui sono installate.
Queste app generano un OTP di 6 cifre, dalla durata in genere di 30 secondi, grazie a uno specifico algoritmo.
Esistono molte applicazioni che offrono questo servizio. Le più famose sono: Authy, Google Authenticator e Microsoft Authenticator.
Ad oggi, anche i servizi di password manager prevedono spesso questa funzione. -
Token Hardware
È una tecnologia recente e non economica, quindi ancora non molto diffusa.
Sono Token usb, quindi oggetti fisici da usare per la Multi Factor Authentication. Sono stati creati inizialmente da Google, poi da Yubico e successivamente da FIDO (“Fast Identity Online”) Alliance. Questo metodo diventerà probabilmente lo standard nel futuro perché è estremamente sicuro grazie ai livelli crittografici complessi.
L’EBA (European Banking Authority) ha rilasciato le “Regulatory Techinical Standards” (RTS). Questo insieme di norme specifica quali sono i requisiti delle procedure di autenticazione forte e le esenzioni d’uso. Definisce, inoltre, i requisiti per la protezione della privacy e della sicurezza degli utenti.
Abbiamo già affrontato le situazioni in cui la Multi Factor Authentication è obbligatoria.
Non è invece obbligatoria in questi casi:
-
Micropagamenti (non superiori a 30 euro).
-
Pagamenti per trasporti e parcheggi effettuati presso terminali non presidiati (per esempio, il biglietto della metro).
Inoltre, i servizi possono essere esentati dall’applicazione dell’autenticazione forte se hanno condotto una specifica analisi del rischio, tenendo conto di:
- Le abitudini di spesa dell’utente.
- Il luogo in cui si trovano pagatore e beneficiario nel momento del pagamento.
- Il mezzo e il canale usati per compierlo.
- Segnali di un eventuale uso scorretto dello strumento di pagamento.
In conclusione, abbiamo compreso che usare come metodo di autenticazione la password (o qualsiasi altro fattore se preso singolarmente) è un sistema di sicurezza troppo debole.
L’utilizzo di un’autenticazione di tipo multifattoriale per accedere ad account e servizi è fondamentale per la sicurezza informatica.
si tratta infatti dell’unico modo sicuro per proteggere i dati e la privacy degli utenti. Deve essere considerata un diritto dell’utente, ma anche un dovere – se non proprio legale, almeno morale – dell’azienda che eroga il servizio.
Onorato Informatica
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci!
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.
