Che cos'è l'autenticazione
Metodi di autenticazione e best practice
Fin dall'inizio della civiltà, l'umanità ha cercato modi sicuri e comodi per autenticare le identità e consentire l'accesso solo a chi è autorizzato, mantenendosi sempre un passo avanti rispetto ai malintenzionati. I tratti somatici, i token, la crittografia, le firme, le impronte digitali e le password erano solo alcuni dei metodi di autenticazione usati prima dell'era digitale. Un'evoluzione di queste tecniche alimenta l'autenticazione oggi.
Ad esempio, anziché fare affidamento sull'occhio umano per riconoscere i tratti somatici, oggi usiamo strumenti biometrici per autenticare una persona tramite l'iride, la retina, l'impronta digitale, la voce o altri distintivi caratteri biologici. Allo stesso modo, invece dei token fisici, i sistemi di sicurezza emettono token digitali agli utenti che hanno dimostrato con successo la loro identità.
Tuttavia, gli attori delle minacce continuano a trovare modi per aggirare l'autenticazione. In un'epoca precedente, i criminali potevano falsificare i sigilli per aggirare la sicurezza. Oggi, un numero maggiore di criminali informatici ruba token di autenticazione per aggirare l'MFA (autenticazione a più fattori), a volte con effetti devastanti. Ad esempio, gli hacker hanno dirottato i token di sessione per impossessarsi in modo spettacolare di tre canali YouTube di Linus Media Group.
I team di sicurezza informatica di giganti della tecnologia come Google, Microsoft e Apple cercano costantemente di migliorare i loro sistemi di autenticazione per proteggere utenti e organizzazioni dagli attacchi informatici sempre più intelligenti e frequenti.
Tuttavia, molti utenti preferiscono avere più comodità che sicurezza, il che spiegherebbe la lenta adozione dell'MFA da parte degli utenti Microsoft, nonostante 25,6 miliardi di tentativi di dirottamento di account utilizzando password rubate con la forza bruta nel 2021. Questo potrebbe anche spiegare perché Microsoft ha disattivato l'autenticazione Basic per Exchange Online a favore dell'autenticazione moderna, che prevede opzioni come l'MFA, le smart card, l'autenticazione basata su certificati (CBA) e i fornitori di identità SAML (Security Assertion Markup Language) di terze parti.
Leggete la nostra guida approfondita per saperne di più:
- Significato dell'autenticazione.
- Autenticazione a due fattori vs. autenticazione a più fattori.
- Autenticazione e autorizzazione.
- Metodi di autenticazione.
- Autenticazione senza password.
Significato dell'autenticazione
L'autenticazione è un metodo di cybersecurity che aiuta a verificare l'identità di un sistema o di un utente. Il metodo di autenticazione più comune è quello dei nomi utente e delle password. Altri metodi di autenticazione, come la verifica biometrica, sono più sofisticati e approfonditi. Un esempio di autenticazione è rappresentato dal tentativo di accedere alla propria posta elettronica: è necessario inserire il nome utente e la password per accedere alla casella di posta.
Perché l'autenticazione è importante?
L'autenticazione è fondamentale per proteggere la nostra sicurezza e la nostra privacy. Compiamo molti tipi di azioni online, dal lavoro alla comunicazione, dagli acquisti all'archiviazione di dati privati, in genere da remoto. L'autenticazione aiuta a preservare l'integrità di qualsiasi spazio digitale, come banche, piattaforme di cloud computing, pagine di social media e altri, riducendo il rischio di accesso non autorizzato. È grazie all'autenticazione che possiamo fidarci di sistemi e identità fisicamente invisibili.
Alcuni strumenti di autenticazione possono anche rallentare o bloccare un attacco informatico. Ad esempio, un criminale informatico con un nome utente e una password rubati può introdursi in un account per rubare dati, rilasciare malware o avviare un attaccoMan-in-the-Middle (MitM) all'indirizzo . Tuttavia, i loro movimenti laterali possono essere fermati in un sistema con protocolli di autenticazione più profondi.
L'autenticazione è anche essenziale perché aumenta la responsabilità degli utenti. Un utente autenticato potrebbe essere meno incline a svolgere attività dannose perché sa di essere tracciato. L'autenticazione può aiutare le organizzazioni di alcuni settori a conformarsi alle leggi sulla sicurezza e la privacy migliorando la sicurezza dei dati.
A cosa serve l'autenticazione?
L'autenticazione può essere utilizzata per vari scopi:
- Sicurezza dei dispositivi: Tutti i tipi di dispositivi con sistemi operativi implementano l'autenticazione per la sicurezza, compresi desktop, laptop, smartphone, tablet e persino una vasta gamma di dispositivi Internet of Things (IoT).
- Sicurezza dell'account: Molteplici piattaforme sfruttano l'autenticazione per migliorare la sicurezza degli account. Ad esempio, gli account di posta elettronica e dei social media utilizzano l'autenticazione per impedire agli utenti non autorizzati di accedere agli account. Le piattaforme finanziarie proteggono l'online banking, i pagamenti digitali e l'e-commerce dalle frodi con l'autenticazione.
- Cloud computing: Poiché sempre più organizzazioni passano a piattaforme di cloud computing come Microsoft Azure, l'autenticazione viene utilizzata per la sicurezza di asset, dati e operazioni. L'autenticazione viene utilizzata anche per la sicurezza delle organizzazioni con asset on-premises, come le reti e i sistemi che adottano il lavoro remoto.
- Controllo degli accessi: L'autenticazione non viene utilizzata solo per la sicurezza esterna, ma anche per quella interna. Le organizzazioni possono utilizzare l'autenticazione per garantire che il personale possa accedere a reti, applicazioni e dati in base alla necessità di sapere.
Autenticazione e autorizzazione
Sebbene l'autenticazione e l'autorizzazione sembrino simili e i due termini siano talvolta usati in modo errato in modo intercambiabile, si tratta di due concetti diversi nell'ambito della cybersecurity. Per farla breve, l'autorizzazione è il processo di verifica dell'identità tramite credenziali di accesso, tratti somatici, voce o token di autenticazione. L'autorizzazione è ciò che avviene dopo l'autenticazione. Una volta che il sistema ha autenticato l'identità di un sistema o di una persona, consente all'entità di accedere alle risorse o di eseguire azioni in base ai suoi privilegi.
La spiegazione breve tra autenticazione e autorizzazione è che l'autenticazione determina se un'entità è autorizzata ad accedere e l'autorizzazione determina a quali risorse può accedere una volta autenticata.
Fattori di autenticazione comunemente utilizzati
Chiunque abbia utilizzato un sistema operativo moderno o lavorato su una piattaforma di cloud computing sa che esistono diversi tipi di metodi e strumenti di autenticazione, come PIN (Personal Identification Numbers), impronte digitali, token e indirizzi IP. Questi metodi o strumenti rientrano in diverse categorie chiamate fattori di autenticazione.
Fattori di conoscenza
Per fattore di conoscenza si intende qualsiasi cosa che un utente conosce, come una password o una risposta a una domanda di sicurezza. I fattori di conoscenza sono in genere veloci, ma vulnerabili alle violazioni. Ad esempio, le password possono essere rubate. Le password deboli sono suscettibili di attacchi di forza bruta, come gliattacchi al dizionario .
Consigliamo caldamente di imparare come creare una password sicura per proteggere i tuoi account. Puoi anche considerare di usare un gestore di password di alto livello per gestire la tua lista di credenziali di accesso complesse.
Fattori di possesso
Un fattore di possesso può essere più sicuro di un fattore di conoscenza perché richiede che l'utente sia in possesso di un determinato oggetto, come un token o uno smartphone, per dimostrare la propria identità. Ad esempio, un sistema può inviare una password una tantum allo smart device di un utente che cerca di accedere. Tuttavia, nemmeno i fattori di possesso sono perfetti, in quanto gli oggetti possono essere dirottati o rubati.
Fattori di eredità
Uno dei fattori di autenticazione più sicuri è il fattore ereditario, perché si basa sulle caratteristiche fisiche uniche dell'utente, come l'impronta digitale o l'iride.
Il principale svantaggio di affidarsi ai fattori ereditari è che l'hardware del sistema deve essere in grado di assorbire ed elaborare i dati biometrici, sebbene la maggior parte dei dispositivi moderni disponga di tali caratteristiche.
Un fattore di eredità può anche rivelarsi troppo efficace in rare circostanze. Ad esempio, si sono verificati diversi casi in cui i parenti stretti non hanno potuto accedere alle criptovalute del figlio defunto perché il dispositivo era protetto da un fattore di eredità.
Fattori di localizzazione
Un'organizzazione, ad esempio un servizio di streaming, può utilizzare un fattore di localizzazione come il geo-blocking per limitare l'accesso agli utenti di luoghi specifici. Ad esempio, un servizio di streaming come Netflix USA può bloccare la visione di alcuni contenuti agli utenti del Canada. Tuttavia, i fattori di localizzazione di solito prevedono delle soluzioni. Ad esempio, chi si trova in Canada potrebbe teoricamente utilizzare unaVPN privata per mascherare la propria posizione e accedere a Netflix USA.
Fattori di comportamento
Un fattore di autenticazione basato sul comportamento richiede all'utente di eseguire determinate azioni per dimostrare la propria identità. Ad esempio, può essere richiesto di disegnare determinati schemi o di risolvere un rompicapo per dimostrare che si tratta di un essere umano e non di un bot. Il reCAPTCHA di Google utilizza un motore di analisi dei rischi e traccia i movimenti del mouse per verificare il comportamento umano.
Tipi di autenticazione
Autenticazione basata su password
La forma più comune di autenticazione, quella basata sulla password, consiste nel verificare l'identità di un utente chiedendogli di fornire una password che corrisponda completamente a quella memorizzata. Il sistema rifiuterà una password che non corrisponde a quella memorizzata anche di un solo carattere.
Come già detto, gli hacker possono indovinare molto rapidamente le password deboli utilizzando gli strumenti più recenti. Per questo motivo gli utenti dovrebbero impostare password lunghe almeno 10 caratteri e complesse e cambiarle periodicamente.
Autenticazione a più fattori (MFA)
L'MFA è nato per necessità. Anche la password più sofisticata può essere rubata. Con l'autenticazione a più fattori di , gli utenti non autorizzati possono dover autenticare la propria identità in un altro modo se attivano il sistema di sicurezza del sistema. Ad esempio, se un sistema identifica un nuovo dispositivo o un nuovo indirizzo IP durante un tentativo di accesso, potrebbe richiedere un PIN o un token, anche se l'utente presenta le credenziali di accesso corrette.
Autenticazione a due fattori (2FA)
Molti si chiedono quale sia la differenza tra 2FA e MFA. La risposta è che la 2FA è essenzialmente un sottoinsieme della MFA. Come già detto, l'MFA richiede due o più fattori di autenticazione. La 2FA ne richiede solo due, in genere una password e un codice di accesso inviato a un account e-mail o a un dispositivo mobile. Per saperne di più, potete leggere lebasi dell'autenticazione a due fattori su .
Mentre gli utenti dei social media utilizzano l'autenticazione a due fattori (2FA) per proteggere i loro account, alcune piattaforme, sfortunatamente, stanno monetizzando la sicurezza degli account. Ad esempio, potresti aver letto dell'autenticazione a due fattori di Twitter, dove la piattaforma sta modificando drasticamente le impostazioni di sicurezza. Dal 19 marzo, gli utenti non possono utilizzare la 2FA basata su SMS senza pagare un abbonamento.
Tuttavia, gli utenti hanno altre opzioni (per ora). Ad esempio, possonoconfigurare l'autenticazione a due fattori su Twitter usando una chiave hardware per una sicurezza avanzata. Una chiave hardware è uno strumento migliore per la sicurezza rispetto agli SMS, che sono vulnerabili ad attacchi di swim-swapping.
Autenticazione a fattore singolo (SFA)
Come suggerisce il nome, l'SFA richiede agli utenti di fornire un solo elemento di autenticazione. Tipicamente, una password è il tipo più comune di SFA. Anche se l'SFA può essere più conveniente dell'MFA, può essere significativamente meno sicura, specialmente se il tipo di autenticazione è debole. L'SFA è anche vulnerabile ad attacchi di ingegneria sociale come il phishing.
Autenticazione basata su certificato
Con questo tipo di autenticazione, un sistema utilizza un certificato digitale. L'autenticazione basata su certificato è più sicura delle password perché i certificati sono sofisticati, usano chiavi e possono essere revocati dall'autorità emittente. Organizzazioni di alto profilo come i governi usano questa tecnica crittografica per una sicurezza avanzata.
Autenticazione biometrica
Come accennato, l'autenticazione biometrica si basa su caratteristiche fisiche uniche come impronte digitali, voci e iridi per proteggere i sistemi. L'autenticazione biometrica è la forma di autenticazione più sicura e conveniente.
Autenticazione basata su token
Le applicazioni web, le API e altri sistemi usano spesso i token per autenticare gli utenti. In sintesi, un token è un identificatore univoco emesso a un utente autorizzato. Mentre i token stanno crescendo nell'utilizzo a causa dell'aumento degli ambienti di lavoro ibridi, sta aumentando anche il furto di token.
Autenticazione di base
Un sistema di autenticazione di base richiede solo un nome utente e una password per autenticare un utente. I sistemi che utilizzano metodi di base sono più suscettibili ai hacker. Solo le risorse di test interne o i sistemi pubblici come il WiFi pubblico utilizzano oggi l'autenticazione di base. L'autenticazione di base è principalmente il motivo per cui gli utenti devono essere più cauti quando usano il WiFi pubblico.
Autenticazione senza password
Man mano che utenti e organizzazioni richiedono maggiore comodità con la sicurezza, le opzioni di autenticazione senza password come biometria, chiavi di sicurezza, token e codici una tantum stanno crescendo in popolarità negli ambienti aziendali e nelle piattaforme utilizzate dai consumatori.
Oltre a una maggiore comodità, l'autenticazione senza password può offrire più sicurezza perché molti utenti continuano a usare password deboli o diventano vittime di attacchi di phishing che attaccano le credenziali.
Autenticazione basata sulla conoscenza (KBA)
La KBA è un tipo di autenticazione che mette alla prova la conoscenza di una persona delle informazioni che ha salvato per autenticare la sua identità. Esempi di KBA includono rispondere a domande sulla strada in cui è cresciuta, il suo colore preferito o il cognome da nubile della madre.
Ci sono diverse ragioni per cui la KBA è un metodo di autenticazione debole. Con più dati utente disponibili pubblicamente su bacheche e piattaforme social come LinkedIn e Facebook, è più facile per un attore di minacce raccogliere i dati necessari per eludere la KBA. Inoltre, gli utenti hanno meno probabilità di impostare risposte complesse alle domande segrete di quanto non lo siano con le password complesse.
Autenticazione mutua
L'autenticazione mutua, nota anche come autenticazione a due vie, è un tipo di autenticazione in cui entrambe le parti in una connessione verificano l'una con l'altra, tipicamente con certificati digitali. Anche se l'autenticazione mutua è utilizzata più comunemente dai protocolli di comunicazione come il Transport Layer Security (TLS) e il Secure Sockets Layer (SSL), molti dispositivi Internet delle Cose (IoT) utilizzano anche la tecnica nelle connessioni device-to-device.
Autenticazione tramite SMS
L'autenticazione tramite SMS utilizza i messaggi di testo come componente della MFA. L'autenticazione tramite SMS funziona meglio quando i metodi di autenticazione sono intatti. Ad esempio, un operatore di telefonia mobile aveva avuto la brillante idea di mescolarel'autenticazione tramite SMS con una pubblicità, il che potrebbe consentire agli attori di minacce di progettare attacchi di smishing più convincenti.
Autenticazione di rete o server
L'autenticazione di rete si riferisce all'identificazione degli utenti che tentano di accedere a una rete o un server. Questo tipo di autenticazione viene utilizzato nei protocolli di comunicazione, VPN, firewall e sistemi che controllano l'accesso alle applicazioni.
Autenticazione a chiave segreta
In un sistema che utilizza l'autenticazione a chiave segreta, l'utente e il sistema condividono una chiave di sessione crittografica nota solo alle due parti. Queste chiavi sono simmetriche. In altre parole, funzionano sia per la crittografia che per la decodifica. I protocolli di comunicazione come Secure Sockets Layer (SSL) utilizzano l'autorizzazione a chiave segreta per garantire la sicurezza del trasferimento dati, come tra un browser web e un sito.
Chiave di sicurezza fisica
Una chiave di sicurezza fisica è un pezzo di hardware che aiuta un utente a dimostrare la sua identità ed è un esempio di fattore di possesso. Una chiave di sicurezza fisica genera tipicamente un codice univoco che è condiviso con un sistema per l'autenticazione. Le chiavi di sicurezza fisiche erano utilizzate solo da organizzazioni di alto profilo, come banche e agenzie di intelligence, oltre un decennio fa.
Tuttavia, molti tipi diversi di piattaforme, come i giochi, l'e-commerce e i social media, consentono agli utenti di proteggere i propri account con chiavi di sicurezza fisiche al giorno d'oggi. Ad esempio, gli utenti possonoabilitare l'autenticazione a chiave hardware di Facebook per iOS e Android per uno strato extra di sicurezza basato sul possesso attorno ai loro account.
Best practice per l'autenticazione
- Tenete d'occhio il malware progettato per rubare credenziali o dati sensibili, come alcuni tipi di Trojans, spyware e keylogger. Si raccomanda anche di impararecome rimuovere un keylogger perché può raccogliere keystroke, screenshot e altre informazioni per aggirare un sistema di autenticazione.
- Impostare password che siano lunghe almeno dieci caratteri e contengano una combinazione di numeri, simboli e alfabeti.
- Evitare l'uso di schemi noti nelle password, come una data di nascita o il nome di un celebrità preferita.
- Non lasciare mai le tue credenziali di login in vista, come su un foglio di carta sulla tua scrivania. Crittografa le password nei dispositivi.
- Dai una mano alla tua password usando metodi di MFA come l'identificazione biometrica o una chiave di sicurezza.
- Fai attenzione agli attacchi di ingegneria sociale progettati per rubare le tue credenziali.
- Evita di riutilizzare la tua password; altrimenti, una password rubata potrebbe portare a violazioni multiple degli account.
- Cambia la tua password regolarmente. Prova a usare un gestore di password affidabile per comodità.
- Incoraggia l'amministratore di rete della tua organizzazione a limitare la durata delle sessioni per prevenire l'hijacking della sessione.
- Gli amministratori devono monitorare i log di autenticazione e i dati di rete per reagire rapidamente a attività sospette, come tentativi di accesso multipli da indirizzi IP sospetti.
- Le organizzazioni dovrebbero considerare l'adozione di un zero-trust architecture per una maggiore sicurezza.
