L'autenticazione a più fattori sarà fondamentale per le aziende che proteggono le risorse cloud

Quando hai dimostrato chi sei a un sistema di gestione delle identità (IDM), potresti aver notato che recentemente sempre più di loro richiedono un passaggio aggiuntivo oltre al tuo ID utente e password, come le richieste che inviano codici al tuo telefono quando accedi su Gmail, Twitter o sul tuo conto bancario da un dispositivo diverso da quello che usi abitualmente. Assicurati solo di non dimenticare il nome del tuo primo animale domestico o dove è nata tua madre perché probabilmente dovrai inserire tali informazioni per dimostrare la tua identità. Questi dati, richiesti in combinazione con una password, sono una forma di autenticazione a più fattori (MFA).

L'AMF non è nuovo. È iniziato come tecnologia fisica; smart card e dongle USB sono due esempi di dispositivi necessari per accedere a computer o servizi software dopo aver inserito la password corretta. Tuttavia, MFA sta evolvendo rapidamente questo processo di accesso per includere altri identificatori, come le notifiche push mobili.

"Sono finiti i vecchi tempi in cui le aziende dovevano distribuire token hardware e gli utenti si sentivano frustrati a digitare codici a sei cifre che ruotavano ogni 60 secondi", ha affermato Tim Steinkopf, presidente di Centrify Corp., produttore del Centrify Identity Service. "È stata un'esperienza utente costosa e negativa. Ora MFA è semplice come ricevere una notifica push sul tuo telefono." Tuttavia, anche i codici che riceviamo tramite Short Message Service (SMS) sono ora disapprovati, secondo Steinkopf.

"Gli SMS non sono più un metodo di trasporto sicuro per i codici MFA in quanto possono essere intercettati", ha affermato. "Per risorse altamente sensibili, le aziende devono ora prendere in considerazione token crittografici ancora più sicuri che seguono i nuovi standard dell'Alleanza Fast IDentity Online (FIDO)". Oltre ai token crittografici, gli standard FIDO2 incorporano le specifiche di autenticazione Web del World Wide Web Consortium (W3C) e il protocollo Client to Authenticator (CTAP). Gli standard FIDO2 supportano anche i gesti degli utenti utilizzando la biometria integrata come riconoscimento facciale, scorrimento delle impronte digitali e scansione dell'iride.

Per utilizzare l'AMF, è necessario incorporare una combinazione di password e domande per dispositivi come smartphone o utilizzare le impronte digitali e il riconoscimento facciale, ha spiegato Joe Diamond, direttore della gestione del marketing dei prodotti di sicurezza di Okta, creatori di Okta Identity Management.

"Altre organizzazioni stanno ora riconoscendo i rischi per la sicurezza associati alle password singole basate su SMS come fattore MFA. È abbastanza banale per un cattivo attore" scambiare SIM "e assumere il numero di cellulare", ha affermato Diamond. "Qualsiasi utente a rischio di un attacco così mirato dovrebbe implementare secondi fattori più forti come un fattore biometrico o un token duro che crea una stretta di mano crittografica tra il dispositivo e il servizio."

A volte l'AMF non è perfetto. Il 27 novembre, Microsoft Azure ha subito un'interruzione relativa a MFA a causa di un errore DNS (Domain Name System) che ha causato molte richieste non riuscite quando gli utenti hanno tentato di accedere a servizi come Active Directory.

Credito: FIDO Alliance

Notifiche push mobili

Gli esperti vedono le notifiche push mobili come la migliore opzione dei "fattori" di sicurezza perché ha una combinazione efficace di sicurezza e usabilità. Un'applicazione invia un messaggio al telefono di un utente avvisando la persona che il servizio sta tentando di accedere all'utente o inviare dati.

"Stai accedendo a una rete e invece di inserire solo la tua password, vieni spinto sul tuo dispositivo dove dice sì o no, stai provando ad autenticare questo dispositivo e se dici sì, ti garantisce l'accesso in la rete ", ha spiegato Dave Lewis, Chief Advisory Chief Information Security Officer (CISO) per il business della sicurezza Duo di Cisco, che offre l'app di autenticazione mobile Duo Push. Altri prodotti che offrono MFA includono Yubico YubiKey 5 NFC e Ping Identity PingOne.

Le notifiche push mobili mancano delle password un tempo inviate tramite SMS perché queste password possono essere hackerate abbastanza facilmente. La crittografia rende efficaci le notifiche, secondo Hed Kovetz, co-fondatore e CEO del fornitore di soluzioni MFA Silverfort.

"È solo un clic e la sicurezza è molto forte perché è un dispositivo completamente diverso", ha detto. "Puoi modificare l'app se è compromessa, ed è completamente crittografata e autenticata con i protocolli moderni. Non è come un SMS, ad esempio, che è facilmente compromessa perché lo standard è fondamentalmente debole e facilmente violato con gli attacchi Signaling System 7 (SS7) e tutti i tipi di altri attacchi agli SMS ".

MFA incorpora Zero Trust

MFA è una parte fondamentale del modello Zero Trust in cui non ti fidi di nessun utente della rete fino a quando non ne verifichi la legittimità. "L'applicazione dell'AMF è un passo necessario per verificare che l'utente sia effettivamente chi afferma di essere", ha affermato Steinkopf.

"L'AMF svolge un ruolo fondamentale nel modello di maturità di Zero Trust di qualsiasi organizzazione, poiché è necessario stabilire la fiducia degli utenti prima di poter concedere l'accesso", ha aggiunto Diamond di Okta. "Questo deve anche essere associato a una strategia di identità centralizzata su tutte le risorse in modo che le politiche di AMF possano essere abbinate a politiche di accesso per garantire agli utenti giusti l'accesso giusto alle risorse giuste, con il minor attrito possibile".

Credito: FIDO Alliance

Le password vengono sostituite?

Molte persone potrebbero non essere pronte ad abbandonare le password, ma se gli utenti continueranno a fare affidamento su di esse dovranno essere protetti. In effetti, il Rapporto sulle violazioni dei dati 2017 di Verizon ha rivelato che l'81% delle violazioni dei dati deriva da password rubate. Questo tipo di statistiche rende le password un problema per qualsiasi organizzazione che cerca di proteggere i propri sistemi in modo affidabile.

"Se riusciamo a risolvere le password, acquisirle e passare a un tipo di autenticazione più intelligente, impediremo oggi la maggior parte delle violazioni dei dati", ha dichiarato Kovetz di Silverfort.

È probabile che le password non scompaiano ovunque, ma possono essere eliminate per app specifiche, ha osservato Kovetz di Silverfort. Ha affermato che l'eliminazione totale delle password per l'hardware dei computer e i dispositivi Internet of Things (IoT) sarebbe più complessa. Un'altra ragione per cui ha detto che l'autenticazione completa senza password potrebbe non avvenire così presto è perché le persone sono psicologicamente attaccate a loro.

La transizione dalle password comporta anche un cambiamento culturale nelle organizzazioni secondo Lewis di Cisco. "Il passaggio dalle password statiche all'AMF è fondamentalmente uno spostamento culturale", ha affermato Lewis. "Stai spingendo le persone a fare le cose in modo diverso da come hanno fatto per anni."

Elaborazione MFA e intelligenza artificiale

L'intelligenza artificiale (AI) viene utilizzata per aiutare gli amministratori IDM e i sistemi MFA a far fronte a una raffica di nuovi dati di accesso. Le soluzioni MFA di fornitori come Silverfort applicano l'intelligenza artificiale per ottenere informazioni su quando MFA è necessario e quando non lo è.

"La parte AI, quando la combini, ti consente di prendere la decisione iniziale se un'autenticazione specifica debba richiedere MFA o meno", ha detto Kovetz di Silverfort. Ha detto che il componente di apprendimento automatico (ML) dell'app potrebbe fornire un punteggio di rischio elevato se rileva un modello di attività anormale, come se un account di un dipendente accedesse improvvisamente a qualcuno in Cina e il dipendente lavorasse regolarmente negli Stati Uniti.

"Se un utente accede a un'applicazione dall'ufficio utilizzando il proprio PC rilasciato dall'azienda, allora MFA non sarebbe richiesto in quanto questo è" normale "", ha spiegato Sterifopf di Centrify. "Ma se lo stesso utente è in viaggio all'estero o utilizza il dispositivo di qualcun altro, verrebbe richiesto l'AMF perché il rischio è maggiore." Steinkopf ha aggiunto che l'AMF è spesso un primo passo quando si utilizzano tecniche di verifica aggiuntive.

I CIO stanno anche tenendo d'occhio la biometria comportamentale, che è diventata una tendenza crescente nelle nuove implementazioni di AMF. La biometria Behavorial utilizza un software per tenere traccia del modo in cui gli utenti digitano o scorrono. Anche se sembra facile, in realtà richiede l'elaborazione di grossi blocchi di dati che cambiano rapidamente, motivo per cui i fornitori utilizzano ML per aiutare.

"Il valore in ML per l'autenticazione sarebbe di valutare più segnali complessi, apprendere una" identità "di base dell'utente in base a tali segnali e avvisare delle anomalie rispetto a quella di base", ha detto Diamond di Okta. "La biometria comportamentale è un esempio in cui ciò può entrare in gioco. Comprendere le sfumature di come un utente digita, cammina o interagisce in altro modo con il proprio dispositivo richiede un sistema di intelligence avanzato per creare quel profilo utente."

Perimetri che scompaiono

Con l'evoluzione dell'infrastruttura cloud, dei servizi cloud e in particolare degli elevati volumi di dati dei dispositivi IoT fuori sede, ora c'è più di un perimetro fisico nella posizione del data center dell'organizzazione. C'è anche un perimetro virtuale che deve proteggere le risorse dell'azienda nel cloud. In entrambi gli scenari, l'identità gioca un ruolo chiave secondo Kovetz.

"I perimetri erano definiti fisicamente, come dall'ufficio, ma oggi i perimetri sono definiti dall'identità", ha detto Kovetz. Man mano che i perimetri scompaiono, anche le protezioni utilizzate dai firewall potenti per fornire computer desktop cablati. L'AMF potrebbe essere un modo per sostituire ciò che i firewall hanno fatto tradizionalmente, ha suggerito Kovetz.

• Autenticazione a due fattori: chi ce l'ha e come configurarla Autenticazione a due fattori: chi ce l'ha e come configurarla
• Oltre il perimetro: come affrontare la sicurezza a più livelli Oltre il perimetro: come affrontare la sicurezza a più livelli
• Il modello Zero Trust guadagna vapore con gli esperti di sicurezza Il modello Zero Trust guadagna vapore con gli esperti di sicurezza

", dove metti i prodotti per la sicurezza della rete?" Chiese Kovetz. "La sicurezza della rete non funziona più davvero. MFA diventa il nuovo modo di proteggere effettivamente la tua rete senza perimetro."

Un modo chiave in cui MFA si sta evolvendo oltre il perimetro è attraverso una fiorente folla di sistemi di identità venduti su base Software-as-a-Service (SaaS), compresa la maggior parte dei servizi IDM che PCMag Labs ha esaminato nell'ultimo anno. "Il vasto numero di prodotti SaaS che consente alle PMI di iniziare facilmente a funzionare già al di fuori del perimetro", ha dichiarato Nathan Rowe, co-fondatore e Chief Product Officer (CPO) del fornitore di sicurezza dei dati Evident. Il modello SaaS riduce drasticamente sia i costi che la complessità della distribuzione, quindi è di grande aiuto per le piccole e medie imprese perché riduce la spesa IT e le spese generali, secondo Rowe.

Le soluzioni SaaS sono sicuramente il futuro di IDM, che le rende anche il futuro di MFA. Questa è una buona notizia poiché anche le piccole imprese si stanno inesorabilmente spostando verso un'architettura IT multi-cloud e di servizi cloud, dove presto sarà facile avere accesso a MFA e ad altre misure di sicurezza avanzate.