TECHTARGET

Sicurezza MFA: 5 modi per eliminare le vulnerabilità dell’autenticazione a più fattori

Migliorare la resilienza dell’autenticazione a più fattori offre agli utenti maggiori informazioni, rendendo le impostazioni predefinite più sicure. In questa guida gli esperti spiegano come fare

Pubblicato il 12 Gen 2023

Sicurezza MFA

Sicurezza MFA sotto la lente degli analisti. Anche perché i codici dell’autenticazione a più fattori (Multi Factor Authentication) come ad esempio le password monouso, sono diventate il nuovo obiettivo dei criminali informatici che cercano di entrare nelle reti. Se è vero che la tecnologia aumenta la sicurezza di nomi utente e password, è vero anche che, a seconda del metodo MFA utilizzato, potrebbe non offrire tutta la protezione necessaria.

Sicurezza MFA: come aumentare la resilienza

Per proteggere meglio gli account utente e i dati, è il momento di rendere l’MFA più resiliente. Ecco alcune indicazioni grazie alle quali i fornitori possono migliorare i loro prodotti.

Il punto di partenza è che l’MFA fornisce più protezione di una semplice combinazione di nome utente/password, ma è comunque hackerabile e phishabile. Con 113 milioni di attacchi registrati solo nei primi tre mesi del 2022, un rapporto del provider di gestione delle identità e degli accessi Auth0 ha rilevato che gli attacchi di bypass MFA sono ai livelli più alti di sempre. Per indebolire la sicurezza MFA e rendere le cose più difficili, gli aggressori utilizzano toolkit automatizzati come, ad esempio, EvilProxy.

Gli orizzonti applicativi della Multi Factor Authentication

È importante capire come il livello di protezione dipende dal tipo di MFA utilizzato. I messaggi di testo e le e-mail, ad esempio, sono particolarmente deboli.

Altri metodi MFA, come la biometria e le notifiche push, sono più resistenti agli aggressori, ma anche questi non sono perfetti. Ad esempio, gli aggressori spesso infastidiscono gli utenti inducendoli ad approvare una notifica di autenticazione tramite un attacco noto come MFA bombing. Gli aggressori di Lapsus $ MFA hanno bombardato un appaltatore Uber con ripetute richieste fino a quando uno non è stato approvato.

Come potenziare la sicurezza MFA

I fornitori che offrono prodotti MFA dovrebbero renderli il più resistenti possibile agli attacchi. Nella sua presentazione, Grimes ha delineato cinque opzioni che i fornitori dovrebbero considerare di implementare.

1. Fornire informazioni sufficienti ai clienti

La prima opzione è la più semplice da implementare e consiste nel fornire agli utenti informazioni sufficienti per prendere una decisione prima di approvare una notifica push o fare clic su un collegamento in un messaggio di testo/e-mail. I vendor dovrebbero anche includere informazioni su come segnalare un abuso.

Sicurezza MFA

2. Abbracciare la programmazione sicura

Durante la progettazione dei metodi MFA, i fornitori dovrebbero utilizzare il ciclo di vita di sviluppo sicuro. Questo include avere una revisione interna del codice e un test di penetrazione interno, nonché assumere pentester esterni, attivare meccanismi di ricompensa per l’identificazione dei bug e indagare su segnalazioni di hacking pertinenti. I fornitori dovrebbero anche creare e condividere un modello di minaccia che può impattare sulla sicurezza MFA considerando l’ingegneria sociale, attacchi man-in-the-middle, dipendenza da terze parti (ad esempio DNS, Active Directory e così via).

3. Individuare impostazioni predefinite sicure

I clienti non prestano sempre attenzione alla sicurezza o ad altre impostazioni, affidandosi alle impostazioni predefinite. I fornitori dovrebbero rendere le impostazioni predefinite il più sicure possibile. Ad esempio, impostando un’applicazione per la chiusura non riuscita anziché per l’apertura non riuscita se si verifica un errore o un’eccezione durante l’autenticazione. I fornitori devono anche disabilitare i protocolli precedenti, vulnerabili e legacy.

4. Nascondere o trasformare i segreti

Le organizzazioni non dovrebbero mai salvare i segreti in chiaro. Numerose violazioni dei dati hanno dimostrato perché questo rappresenti un problema di sicurezza. Piuttosto, le organizzazioni dovrebbero nascondere o trasformare i segreti per impedire agli aggressori di utilizzarli a seguito di una violazione riuscita. Le opzioni per eseguire questa operazione includono quanto segue:

  • Usare i token per archiviare i segreti in uno stato non reversibile
  • Trasformare i segreti utilizzando Dynamic Symmetric Key Provisioning Protocol
  • Usare la crittografia omomorfica, ovvero la conversione dei dati in testo cifrato che può essere analizzato e lavorato come se fosse ancora nella sua forma originale.

5. Prevenire gli attacchi di brute forcing

Impostare la sicurezza MFA significa prevenire gli attacchi di brute forcing. Un modo per farlo è imporre il blocco degli account dopo più tentativi di accesso non riusciti. L’impostazione di una rigorosa limitazione o limitazione della velocità può anche impedire agli hacker di tentare continuamente di accedere entro un determinato periodo di tempo.

Opzioni aggiuntive per la sicurezza MFA

Di seguito gli esperti condividono ulteriori modalità di supporto alla sicurezza MFA:

  • Impostare i segreti di autenticazione in modo che scadano entro un determinato periodo di tempo
  • Usare i metodi crittografici esistenti invece di crearne uno proprietario
  • Rendere il MFA cripto-agile
  • Educare gli utenti su come utilizzare correttamente l’MFA e spiegare che nessun metodo è infallibile

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2