Sicurezza MFA sotto la lente degli analisti. Anche perché i codici dell’autenticazione a più fattori (Multi Factor Authentication) come ad esempio le password monouso, sono diventate il nuovo obiettivo dei criminali informatici che cercano di entrare nelle reti. Se è vero che la tecnologia aumenta la sicurezza di nomi utente e password, è vero anche che, a seconda del metodo MFA utilizzato, potrebbe non offrire tutta la protezione necessaria.
Sicurezza MFA: come aumentare la resilienza
Per proteggere meglio gli account utente e i dati, è il momento di rendere l’MFA più resiliente. Ecco alcune indicazioni grazie alle quali i fornitori possono migliorare i loro prodotti.
Il punto di partenza è che l’MFA fornisce più protezione di una semplice combinazione di nome utente/password, ma è comunque hackerabile e phishabile. Con 113 milioni di attacchi registrati solo nei primi tre mesi del 2022, un rapporto del provider di gestione delle identità e degli accessi Auth0 ha rilevato che gli attacchi di bypass MFA sono ai livelli più alti di sempre. Per indebolire la sicurezza MFA e rendere le cose più difficili, gli aggressori utilizzano toolkit automatizzati come, ad esempio, EvilProxy.
Gli orizzonti applicativi della Multi Factor Authentication
È importante capire come il livello di protezione dipende dal tipo di MFA utilizzato. I messaggi di testo e le e-mail, ad esempio, sono particolarmente deboli.
Altri metodi MFA, come la biometria e le notifiche push, sono più resistenti agli aggressori, ma anche questi non sono perfetti. Ad esempio, gli aggressori spesso infastidiscono gli utenti inducendoli ad approvare una notifica di autenticazione tramite un attacco noto come MFA bombing. Gli aggressori di Lapsus $ MFA hanno bombardato un appaltatore Uber con ripetute richieste fino a quando uno non è stato approvato.
Come potenziare la sicurezza MFA
I fornitori che offrono prodotti MFA dovrebbero renderli il più resistenti possibile agli attacchi. Nella sua presentazione, Grimes ha delineato cinque opzioni che i fornitori dovrebbero considerare di implementare.
1. Fornire informazioni sufficienti ai clienti
La prima opzione è la più semplice da implementare e consiste nel fornire agli utenti informazioni sufficienti per prendere una decisione prima di approvare una notifica push o fare clic su un collegamento in un messaggio di testo/e-mail. I vendor dovrebbero anche includere informazioni su come segnalare un abuso.
2. Abbracciare la programmazione sicura
Durante la progettazione dei metodi MFA, i fornitori dovrebbero utilizzare il ciclo di vita di sviluppo sicuro. Questo include avere una revisione interna del codice e un test di penetrazione interno, nonché assumere pentester esterni, attivare meccanismi di ricompensa per l’identificazione dei bug e indagare su segnalazioni di hacking pertinenti. I fornitori dovrebbero anche creare e condividere un modello di minaccia che può impattare sulla sicurezza MFA considerando l’ingegneria sociale, attacchi man-in-the-middle, dipendenza da terze parti (ad esempio DNS, Active Directory e così via).
3. Individuare impostazioni predefinite sicure
I clienti non prestano sempre attenzione alla sicurezza o ad altre impostazioni, affidandosi alle impostazioni predefinite. I fornitori dovrebbero rendere le impostazioni predefinite il più sicure possibile. Ad esempio, impostando un’applicazione per la chiusura non riuscita anziché per l’apertura non riuscita se si verifica un errore o un’eccezione durante l’autenticazione. I fornitori devono anche disabilitare i protocolli precedenti, vulnerabili e legacy.
4. Nascondere o trasformare i segreti
Le organizzazioni non dovrebbero mai salvare i segreti in chiaro. Numerose violazioni dei dati hanno dimostrato perché questo rappresenti un problema di sicurezza. Piuttosto, le organizzazioni dovrebbero nascondere o trasformare i segreti per impedire agli aggressori di utilizzarli a seguito di una violazione riuscita. Le opzioni per eseguire questa operazione includono quanto segue:
- Usare i token per archiviare i segreti in uno stato non reversibile
- Trasformare i segreti utilizzando Dynamic Symmetric Key Provisioning Protocol
- Usare la crittografia omomorfica, ovvero la conversione dei dati in testo cifrato che può essere analizzato e lavorato come se fosse ancora nella sua forma originale.
5. Prevenire gli attacchi di brute forcing
Impostare la sicurezza MFA significa prevenire gli attacchi di brute forcing. Un modo per farlo è imporre il blocco degli account dopo più tentativi di accesso non riusciti. L’impostazione di una rigorosa limitazione o limitazione della velocità può anche impedire agli hacker di tentare continuamente di accedere entro un determinato periodo di tempo.
Opzioni aggiuntive per la sicurezza MFA
Di seguito gli esperti condividono ulteriori modalità di supporto alla sicurezza MFA:
- Impostare i segreti di autenticazione in modo che scadano entro un determinato periodo di tempo
- Usare i metodi crittografici esistenti invece di crearne uno proprietario
- Rendere il MFA cripto-agile
- Educare gli utenti su come utilizzare correttamente l’MFA e spiegare che nessun metodo è infallibile