I pro e i contro dei vari metodi MFA

L’autenticazione a più fattori (MFA) aiuta ad aggiungere un ulteriore livello di sicurezza agli account, ma è importante capire che non tutti i metodi MFA sono uguali in termini di facilità d’uso e sicurezza. In questo articolo, esamineremo i diversi tipi di metodi MFA, oltre ai pro e contro di ciascuno.

MFA basata su SMS

L’MFA basata su SMS consente agli utenti di verificare la loro identità mediante una password monouso (OTP) inviata al loro telefono. Quando un utente tenta di accedere al suo account, il sistema invia un codice OTP univoco tramite messaggio di testo al numero di telefono associato. L’utente deve quindi inserire il codice nell’interfaccia di accesso per completare il processo di autenticazione e accedere al suo account.

Pro

1. Facile da configurare e utilizzare: gli utenti hanno bisogno solo di un numero di telefono valido.

2. Ampiamente diffusa: quasi tutti i telefoni cellulari possono ricevere messaggi SMS, che si tratti di smartphone o di telefoni semplici.

3. Non serve hardware speciale: gli utenti hanno bisogno solo di un telefono cellulare in grado di ricevere messaggi.

Contro

1. Vulnerabile al SIM swapping: un aggressore può convincere l’operatore di telefonia mobile di un utente a trasferire il numero di telefono dell’utente su una nuova scheda SIM controllata dall’aggressore. In questo modo, gli aggressori possono intercettare i messaggi SMS, tra cui i codici OTP.

2. Vulnerabile al phishing: gli aggressori potrebbero impersonare organizzazioni legittime tramite messaggi di testo, inducendo gli utenti a rivelare i loro codici OTP.

3. Meno sicuri rispetto ad altri metodi MFA: i messaggi SMS non sono crittografati, pertanto c’è il rischio che l’OTP venga intercettato durante la trasmissione.

MFA basata su e-mail

L’MFA basata su e-mail consente agli utenti di verificarsi mediante un codice o un magic link inviato al loro indirizzo e-mail registrato. Quando un utente tenta di accedere al suo account, riceve un’e-mail con un codice OTP o un magic link. L’utente deve quindi inserire il codice OTP o fare clic sul magic link per completare il processo di autenticazione e accedere al suo account.

Pro

1. Facile da configurare e utilizzare: gli utenti hanno bisogno solo di un indirizzo e-mail, che la maggior parte di essi possiede già.

2. Non sono necessari ulteriori app o dispositivi: serve solo un dispositivo con accesso all’account e-mail dell’utente, può essere uno smartphone, un tablet o un computer.

Contro

1. Vulnerabile alla compromissione degli account e-mail: se l’account e-mail di un utente viene compromesso, un aggressore può ottenere il codice OTP e aggirare l’MFA.

2. Dipende dalla disponibilità delle e-mail: se l’utente non può accedere al proprio account e-mail per problemi come la mancanza di connessione Internet o un’interruzione del servizio, non potrà accedere all’account perché non può ricevere il codice OTP o il magic link.

Autenticazione mediante chiamata vocale

L’autenticazione mediante chiamata vocale consente agli utenti di verificarsi mediante un’OTP inviata tramite chiamata vocale al numero di telefono registrato associato al loro account. Quando un utente tenta di accedere al suo account, riceve una chiamata vocale automatica da parte del sistema che leggerà un codice OTP univoco. L’utente inserisce quindi questo codice nell’interfaccia di accesso per completare il processo di autenticazione e accedere al suo account.

Pro

1. Semplice e accessibile per gli utenti senza smartphone: non serve uno smartphone o un piano dati, a differenza degli SMS o delle applicazioni di autenticazione. È necessario solo un semplice telefono cellulare in grado di ricevere chiamate.

2. Funziona anche senza connessione Internet: a patto che l’utente abbia accesso alla rete cellulare, può ricevere una chiamata vocale con il codice OTP indipendentemente dall’accesso a Internet.

Contro

1. Vulnerabile al SIM swapping: un aggressore può convincere l’operatore di telefonia mobile di un utente a trasferire il numero di telefono dell’utente su una nuova scheda SIM controllata dall’aggressore. In questo modo, gli aggressori possono intercettare il codice OTP inviato tramite chiamata vocale.

2. Vulnerabile allo spoofing e al vishing: gli aggressori possono falsificare il numero di telefono di un servizio legittimo e indurre gli utenti a credere di stare ricevendo una chiamata OTP. L’aggressore potrebbe quindi richiedere informazioni sensibili o convincere l’utente a inserire il codice OTP su un sito dannoso.

3. Limitazioni per chi ha problemi di udito: gli utenti con problemi di udito potrebbero non essere in grado di sentire chiaramente il codice OTP durante la chiamata.

App di autenticazione

Le app di autenticazione sono applicazioni che generano codici OTP basati sul modello di verifica Time-Based One-Time Password (TOTP). Solitamente, i password manager di qualità hanno una funzionalità di autenticazione tramite app all’interno della piattaforma, consentendo agli utenti di salvare e accedere ai codici su tutti i dispositivi.

Durante la configurazione dell’MFA con un’app di autenticazione, gli utenti scansionano un codice QR o inseriscono manualmente una chiave segreta. Utilizzando questa chiave, l’app applica un algoritmo per generare codici OTP unici e a tempo che cambiano ogni 30-60 secondi. Quando un utente tenta di accedere al suo account, deve inserire il codice visualizzato nell’app di autenticazione. Il server verifica se il codice inserito corrisponde a quello che ha generato e, in tal caso, concede l’accesso all’utente.

Pro

1. Disponibile offline: non è necessaria una connessione a Internet per generare il codice OTP, poiché l’app si basa sulla chiave segreta memorizzata sul dispositivo per generare codici a tempo.

2. Gratis: la maggior parte delle app di autenticazione è gratis, rendendole una soluzione MFA sicura ed economica.

Contro

1. È necessario uno smartphone o un altro dispositivo dedicato: gli utenti devono avere accesso a un dispositivo che supporti l’app.

2. Vulnerabili agli attacchi mirati alle app: se un malintenzionato accede al dispositivo di un utente, potrebbe avere accesso alle chiavi segrete memorizzate per generare codici OTP per accedere senza autorizzazione.

3. Potenzialmente impegnative per alcuni utenti: installare l’app, scansionare un codice QR e gestire più account online all’interno dell’app potrebbero risultare complicati per gli utenti meno esperti di tecnologia.

Chiavi di sicurezza FIDO2

Una chiave di sicurezza FIDO2 è un metodo MFA basato su hardware ideato per consentire agli utenti di accedere in modo sicuro ai loro account senza dover inserire una password o un codice. Si tratta di un dispositivo fisico che un utente collega al suo computer o dispositivo cellulare, in genere tramite USB, NFC o Bluetooth. Le chiavi di sicurezza FIDO2 utilizzano la crittografia a chiave pubblica per creare una coppia di chiavi: una chiave pubblica memorizzata sul server e una chiave privata memorizzata in modo sicuro sulla chiave di sicurezza stessa. Quando un utente tenta di accedere a un account, inserisce la chiave di sicurezza FIDO2 quando richiesto e la tocca, firmando la richiesta di autenticazione con la chiave privata per verificare la sua identità.

Pro

1. Immune agli attacchi man-in-the-middle: gli aggressori non possono intercettare i dati tra l’utente e il server perché non hanno la chiave privata necessaria per completare l’autenticazione.

2. Immune agli attacchi di phishing: gli aggressori non possono indurre gli utenti a rivelare la chiave privata o i codici di autenticazione perché si basa sulla crittografia a chiave pubblica ed è necessario possedere fisicamente la chiave di sicurezza.

3. Resistente al SIM swapping: le chiavi di sicurezza non si basano su un numero di telefono, quindi non sono vulnerabili al SIM swapping.

4. Compatibile con varie app e siti web: le chiavi di sicurezza FIDO2 sono ampiamente supportate sui principali browser, piattaforme e dispositivi.

Contro

1. Costose: i prezzi delle chiavi di sicurezza FIDO2 si aggirano intorno ai 20-100 dollari, se non di più, a seconda delle funzionalità e del brand.

2. Blocco dell’utente in caso di perdita della chiave in mancanza di un metodo di backup: se un utente perde la chiave di sicurezza FIDO2, potrebbe non essere in grado di accedere all’account a meno che non disponga di un metodo di autenticazione di backup, come un’altra chiave, un codice di backup o un’opzione di recupero.

3. È necessario un dispositivo fisico: gli utenti devono sempre avere con sé la chiave per autenticarsi, il che può essere inconveniente se viene smarrita, dimenticata o non è facilmente accessibile.

Token hardware

I dispositivi hardware sono dispositivi fisici, come i portachiavi o le smart card, utilizzati per verificare l’identità di un utente generando codici TOTP. Quando un utente tenta di accedere al suo account, il sistema gli chiede di inserire il codice OTP generato dal token hardware. A seconda del tipo di token, l’utente deve leggere il codice dallo schermo del dispositivo o premere un pulsante per visualizzare il codice da inserire nell’interfaccia di accesso. Il server verifica se il codice inserito corrisponde a quello che ha generato in base al segreto condiviso e all’orario attuale. Se i codici corrispondono, l’utente può accedere.

Pro

1. Genera codici OTP anche senza una connessione Internet: è ideale per gli utenti che si trovano in ambienti in cui non è disponibile una connessione Internet.

2. Facile da configurare e utilizzare: l’utente deve semplicemente collegare il token hardware al suo account e i codici OTP saranno generati automaticamente senza dover fare altro.

Contro

1. Costoso: gli utenti o le organizzazioni devono acquistare il dispositivo fisico, che può risultare costoso, soprattutto nel caso di aziende più grandi che devono fornire token a molti o a tutti gli utenti. Il prezzo dei token può variare da 20 a 100 dollari, se non di più.

2. Token persi o rubati: gli utenti potrebbero non essere in grado di accedere ai loro account fino alla sostituzione del token, cosa che può richiedere molto tempo.

3. È necessario un dispositivo fisico: dal momento che gli utenti devono avere sempre con sé i token per accedere ai loro account, smarrire o dimenticare il token potrebbe causare problemi.

Autenticazione biometrica

L’autenticazione biometrica è un tipo di metodo MFA che utilizza caratteristiche fisiche o comportamentali per verificare l’identità di un utente. A differenza delle password o dei codici OTP tradizionali, l’autenticazione biometrica si basa su tratti unici innati di ciascun individuo. Questi tratti possono includere impronte digitali, caratteristiche del viso, pattern vocali, scansioni dell’iride o della retina o persino pattern di battitura. Quando un utente tenta di accedere, il sistema cattura e analizza i suoi dati biometrici e li confronta con i dati raccolti durante la configurazione iniziale per verificarne l’identità.

Pro

1. Veloce, facile e configurazione minima: Durante la configurazione iniziale, l’utente deve scansionare la propria impronta digitale, il volto o un altro tratto biometrico. Una volta configurata, basterà solo uno sguardo o un tocco per autenticarsi.

2. Unico per ciascun utente: i tratti biometrici sono difficili da replicare e la probabilità che due persone abbiano esattamente le stesse impronte digitali, gli stessi tratti del viso o lo stesso pattern della retina è estremamente bassa.

Contro

1. Potrebbero non funzionare correttamente in determinate circostanze: ad esempio, se il dito di un utente è sporco o ferito, il sistema potrebbe avere difficoltà a leggere correttamente l’impronta digitale. Analogamente, se si indossano occhiali, mascherine o cappelli, il sistema potrebbe non riuscire a scansionare accuratamente il volto.

2. Preoccupazioni relative alla privacy e all’uso improprio dei dati biometrici: se i dati biometrici vengono memorizzati o resi accessibili in modo non sicuro, possono essere soggetti a furti o usi impropri.

3. Potenziale di falsi positivi: ad esempio, gemelli o persone dall’aspetto simile con caratteristiche facciali simili potrebbero dare luogo a un falso positivo.

Notifiche push

Le notifiche push consentono agli utenti di verificare la loro identità ricevendo una notifica sul loro dispositivo cellulare. Per accedere, invece di inserire un codice OTP, l’utente riceve una notifica push che chiede di approvare o rifiutare il tentativo di accesso. Selezionando “approva”, l’utente verifica la sua identità e conferma di essere stato lui a richiedere l’accesso senza dover inserire manualmente un codice.

Pro

1. Processo di approvazione rapido: a differenza dei metodi OTP, in cui l’utente deve attendere un messaggio di testo e inserire un codice, il processo di approvazione delle notifiche push è istantaneo.

2. Più sicuro degli SMS: le notifiche push vengono inviate tramite connessione crittografata al server, rendendole meno vulnerabili alle intercettazioni.

Contro

1. Serve uno smartphone o un dispositivo per ricevere la notifica push: è necessario un dispositivo in grado di ricevere notifiche per completare il processo di autenticazione.

2. Potrebbe non essere efficace se il telefono dell’utente viene smarrito, rubato, non è connesso o è in modalità aereo: Se un utente non ha con sé il suo smartphone o il suo dispositivo non è disponibile, non sarà in grado di accedere ai propri account.

Cosa considerare quando si sceglie un metodo MFA

Quando si decide quale metodo MFA utilizzare, è importante valutare diversi fattori per assicurarsi che la soluzione scelta soddisfi le esigenze specifiche. Questi fattori includono le esigenze di sicurezza, la comodità e il costo di implementazione.

• Esigenze di sicurezza: il livello di sicurezza necessario varia a seconda della sensibilità delle informazioni da proteggere. Per i dati altamente sensibili, è meglio scegliere una soluzione MFA che offra il massimo livello di protezione. Soluzioni come la biometria, i token hardware o le chiavi di sicurezza FIDO2 sono considerate le forme di MFA più forti per la loro resistenza alle minacce informatiche comuni.
• Comodità per gli utenti: valuta l’equilibrio tra facilità di accesso e massima sicurezza. È importante trovare un compromesso tra semplicità e sicurezza per garantire un’esperienza intuitiva proteggendo al contempo le informazioni sensibili. Se la comodità è una priorità, soluzioni come la biometria o le notifiche push sono l’ideale, poiché offrono un’autenticazione rapida e semplice.
• Costo: valuta sia il costo di implementazione iniziale che quello di manutenzione ordinaria. Alcune soluzioni MFA potrebbero avere bassi costi, come l’autenticazione basata su SMS, mentre altre, come i token hardware o le chiavi di sicurezza FIDO2, possono risultare più costose da distribuire e mantenere.

Proteggi i tuoi account con metodi MFA sicuri

Comprendere sia i vantaggi che gli svantaggi dei diversi metodi è fondamentale quando si sceglie la soluzione MFA giusta. Indipendentemente dal metodo scelto, abilita sempre l’MFA per ogni account che offre questa opzione. Qualsiasi opzione MFA è molto più sicura che nessuna MFA.

Keeper Password Manager consente di memorizzare, accedere e condividere in modo sicuro i codici TOTP, compilandoli automaticamente per te. Ciò permette a tutti gli utenti della tua organizzazione di utilizzare password forti e di abilitare l’MFA per ogni account.

Inizia una prova gratuita di 14 giorni di Keeper Password Manager per migliorare la sicurezza dei tuoi account.