Nell’articolo “Entra ID – Passwordless authentication con FIDO2 security key“ abbiamo visto un metodo di autenticazione Passwordless, basato su chiave hardware compatibile con FIDO2.
Oggi approfondiremo il concetto di autenticazione a più fattori (MFA) phishing-resistant.
Quali sono i rischi della classica autenticazione?
Ormai siamo tutti consapevoli che il solo utilizzo di username e password non è in grado di tutelarci contro la compromissione dei nostri dati, questo anche a fronte di password particolarmente complesse.
Il rischio più immediato nel mantenere i vecchi standard è quello di esporsi agli attacchi più diffusi:
Riutilizzo delle Password: osservando le statistiche online si evince che le persone che impiegano la stessa password per più servizi sono tra il 60% e il 70% degli utilizzatori “tecnologici” totali.
Il risultato è che se anche solo uno dei servizi utilizzati (Gmail, LinkedIn, Facebook, Outlook, ecc) fosse violato, anche tutti gli altri sarebbero a rischio.
Password Spray: è un attacco diverso dai classici brute force, in questo caso l’attaccante cerca di usare una (o un ristretto numero di) password per compromettere svariati utenti.
Di norma il tentativo avviene con parole di uso comune, in giro per il web non è difficile trovare liste di common passwords.
Spear Phishing: è un attacco mirato e preciso rispetto al semplice phishing. Gli attaccanti, tramite strumenti di comunicazione elettronica (una email scritta a regola d’arte, un messaggio) spingono le vittime a rivelare informazioni sensibili, come le credenziali di accesso.
Multi Factor Authentication
MFA è un processo di autenticazione che richiede più di un fattore di autenticazione per autorizzare un utente all’utilizzo di una risorsa (sito web, applicazione, sistema).
Sostanzialmente la password risulta essere il primo fattore, i successivi divengono i metodi secondari richiesti e che compongono i processi di autenticazione multifattore (2FA, MFA).
Tra le varie opzioni abbiamo l’invio di una e-mail, un SMS o la chiamata telefonica, ma, già da tempo, sappiamo che soluzioni come queste sono facilmente attaccabili.
Passwordless è la soluzione?
Volutamente non avevo ancora menzionato Microsoft Authenticator, questo perché, tra le varie possibilità che lo strumento offre, una delle più interessanti è l’accesso Passwordless ai nostri account.
Abilitando la funzionalità per il login sui servizi Microsoft saranno sufficienti indirizzo mail e il number matching.
Una sola considerazione in merito, con questa modalità la password non viene eliminata o disabilitata e potrà comunque essere soggetta a violazioni, sarebbe opportuno che fosse il più complessa possibile.
Non possiamo non riconoscere la comodità dell’autenticazione Passwordless ma, rispondendo alla domanda iniziale, è la soluzione definitiva?
Come sempre nel nostro settore la riposta è: dipende!
L’esempio sopra non è un metodo phishing-resistant e quindi può essere oggetto di attacchi come AiTM attack che bypassano, di fatto, la MFA.
Phishing-resistant MFA
I metodi phishing-resistant (tutti Passwordless) offrono protezione anche rispetto alle aggressioni Adversary in The Middle (AiTM). Nel momento in cui sto scrivendo sono i quattro a seguire:
– FIDO2 Security keys
– Windows Hello for Business
– Certificate-based Authentication (CBA)
– Microsoft Authenticator Passkey (Preview)
Rispondendo ancora al quesito: sì l’autenticazione Passwordless è una soluzione se è phishing-resistant!
Abbiamo già visto il funzionamento delle Security Key, sono al lavoro per i prossimi episodi di approfondimento sugli altri approcci citati (stay tuned) e vi lascio con questo dubbio: per la Certificate-based Authentication potremmo utilizzare i servizi Cloud PKI?
Categories: 365 All Azure Cloud Sistemi Virtual Desktop Windows