Due recenti casi di violazioni con alta risonanza mediatica e danni ingenti, che dimostrano quanto sia delicato il tema della protezione delle identità. Una coppia, scontenta, ha attaccato l’azienda IHG, proprietaria di importanti marchi alberghieri. Ha ingannato un suo dipendente, facendogli scaricare un malware attraverso un’e-mail, per ottenere l’accesso al caveau delle password di IHG, utilizzando la password “Qwerty1234”.
Pochi giorni dopo, un diciottenne ha rivendicato la violazione dell’ambiente di Uber, utilizzando il prompt bombing. Avrebbe sferrato un attacco di social engineering spingendo il sistema di autenticazione multifattoriale (MFA) di Uber a inviare ripetutamente richieste di autenticazione al telefono della vittima. Dopo averlo “bombardato” per oltre un’ora, il giovane responsabile avrebbe impersonato il reparto IT di Uber, inviando un messaggio WhatsApp in cui imponeva l’approvazione delle richieste di accesso, per bloccare l’attacco. Il suo piano è andato a buon fine, anche perché Uber aveva codificato le credenziali del caveau in uno script PowerShell facilmente accessibile.
A cosa servono i caveaux di password
In un ambiente IT, le identità più importanti sono quelle che forniscono un accesso speciale e “poteri” superiori rispetto agli utenti normali. Si tratta di “superutenti”, o di profili privilegiati, che consentono di accedere a qualsiasi sistema o dato e di modificare le configurazioni. Hanno in mano “le chiavi del regno”.
I caveaux di password servono a monitorare, controllare, rilevare e prevenire l’uso non autorizzato delle identità privilegiate.
Come in una biblioteca, gli utenti possono prendere in prestito, o ottenere l’accesso, a un’identità privilegiata, spesso per un periodo di tempo limitato. È possibile però anche rimuovere i privilegi permanenti, ovvero la concessione continua di un accesso speciale. Questo, combinato con un accesso privilegiato limitato nel tempo, può aiutare a ridurre notevolmente la superficie di attacco.
Con i caveaux di password, si risolve un problema ma ne sorge un altro
Le password sono note solo al proprietario di un profilo o account e ne autenticano l’identità. Quelle facili da ricordare sono spesso deboli e indovinabili, ma quelle forti sono troppo difficili da tenere a mente. Si finisce quindi spesso a “riciclare” le password, aumentando fortemente il rischio di compromissione di più account.
Per superare queste debolezze intrinseche delle password, il settore della sicurezza informatica ha sviluppato l’MFA. Questo approccio si basa su tre principali input: qualcosa che si conosce, qualcosa che si possiede (smartphone) e qualcosa che si è (dati biometrici). È un metodo che può rappresentare una soluzione rapida per ridurre il rischio, quando i dipendenti utilizzano password deboli. Purtroppo, però, introduce nuovi problemi, sempre legati alla sicurezza, come il prompt bombing e altri attacchi di social engineering o phishing.
Il rischio è legato all’uso di messaggi di testo facilmente compromissibili come secondo fattore, in grado di trasformare il telefono e il numero di telefono in dispositivi di identità al di fuori dei criteri di progettazione originali.
I passaggi aggiuntivi dell’MFA impattano sulla fluidità del processo di login. Quasi un terzo (32%) degli intervistati nell’indagine “Securing the Identity Perimeter with Defense in Depth” di Enterprise Strategy Group (ESG) ha dichiarato di rendere l’MFA opzionale per i propri dipendenti e il 27% per la forza lavoro di terzi.
L’autenticazione passwordless: quali vantaggi
L’approccio passwordless elimina totalmente le password dal processo di autenticazione, riducendo drasticamente i rischi. FIDO2 è una delle numerose nuove tecniche e standard di autenticazione senza password. Basato sulla crittografia a chiave pubblica, richiede qualcosa che l’utente possiede – una chiave di accesso – e qualcosa che l’utente è – la biometria – per consentire al sistema di autenticazione di accedere alla chiave di accesso.
FIDO2 elimina molte, se non tutte, le difficoltà dell’autenticazione basata su password e MFA. Visti i recenti annunci di Google, Microsoft e Apple che hanno dichiarato di supportare FIDO2 e WebAuthn su tutti i loro dispositivi, il 2023 potrebbe essere l’anno del passaggio al paradigma passwordless.
Esistono anche soluzioni che non prevedono l’uso di password e si basano interamente sulla biometria. La maggior parte delle persone sta infatti acquisendo familiarità con il riconoscimento facciale, spesso usato per accedere a dispositivi mobili (tramite Face ID di Apple o Google), o a computer portatili (con programmi come Windows Hello). Aziende come Incode, Pindrop e Veridium forniscono anche strumenti per aggiungere alle app e ai servizi l’autenticazione tramite impronte digitali, riconoscimento facciale e impronte vocali.
Passare a un’MFA resistente al phishing o, meglio ancora, eliminare le password, è un ottimo passo per ridurre i rischi. La seconda soluzione è da preferire, anche perché è frictionless, migliora la user experience e l’efficienza delle operazioni IT e di sicurezza. Riduce, infatti, la quantità di tempo e di effort richiesti per gestire la reimpostazione delle password e il blocco degli account.