L’autenticazione multi fattore quale misura di sicurezza attraverso il ricorso all’utilizzo di sms. Criticità.
-
- 18 Gennaio 2025
Cosa si intende per autenticazione in informatica.[1]
L’autenticazione è, in termini generali, l’atto o il processo di confermare la verità di una informazione sostenuto vero da un’entità. Invece l’identificazione è l’atto o il processo di confermare l’identità di una persona o cosa ed avviene attraverso l’autenticazione.
Si definisce in informatica il processo tramite il quale un sistema informatico, un computer, un software o un utente verifica la corretta, o almeno presunta, identità di un altro computer, software o utente che vuole comunicare attraverso una connessione, autorizzandolo ad usufruire dei relativi servizi associati.[2] È il sistema che verifica, effettivamente, che un individuo è chi sostiene di essere.
L’autenticazione è diversa dall’identificazione (la determinazione che un individuo sia conosciuto o meno dal sistema) e dall’autorizzazione (il conferimento ad un utente del diritto ad accedere a specifiche risorse del sistema, sulla base della sua identità)
Cos’è l’autenticazione multi fattore.
L’autenticazione a più fattori (MFA) aggiunge un livello di protezione al processo di accesso. Durante l’accesso ad account o app, gli utenti eseguono verifiche dell’identità aggiuntive, come la scansione dell’impronta digitale o l’immissione di un codice ricevuto sul telefono. L’autenticazioner a due fattori assicura una protezione più affidabile degli account degli utenti.
Pertanto, l’autenticazione multi fattore (Multi-Factor Authentication, MFA) è un metodo di verifica dell’identità che richiede agli utenti di fornire almeno un fattore di autenticazione in aggiunta alla password oppure almeno due fattori di autenticazione invece di una password, per ottenere l’accesso a un sito web, un’app., ecc.
Il quadro comunitario
Il REGOLAMENTO DI ESECUZIONE (UE) 2024/2690 DELLA COMMISSIONE del 17 ottobre 2024[2] al C (20) afferma che a norma dell’articolo 21, paragrafo 2, lettera g), della direttiva (UE) 2022/2555, gli Stati membri devono provvedere affinché i soggetti essenziali e importanti applichino pratiche di igiene informatica di base e forniscano formazione in materia di cibersicurezza. Tra le pratiche di igiene informatica di base possono figurare principi zero trust, aggiornamenti del software, configurazione dei dispositivi, segmentazione della rete, gestione delle identità e degli accessi o sensibilizzazione degli utenti, organizzazione di attività di formazione per il personale e sensibilizzazione in merito alle minacce informatiche, al phishing o alle tecniche di ingegneria sociale. Le pratiche di igiene informatica costituiscono parte di diversi requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza di cui all’allegato del presente regolamento. Per quanto riguarda le pratiche di igiene informatica di base per gli utenti, i soggetti pertinenti dovrebbero prendere in considerazione pratiche quali una politica «clear desk» (scrivania pulita) e «clear screen» (schermo pulito), l’uso di mezzi di autenticazione a più fattori e di altro tipo, pratiche sicure per l’uso della posta elettronica e della navigazione sul web, la protezione dal phishing e dall’ingegneria sociale e pratiche sicure di lavoro a distanza.
In un’ottica di cybersicurezza, il C (23) stabilisce che l’autenticazione a più fattori può migliorare la cibersicurezza dei soggetti, che dovrebbero prenderla in considerazione in particolare quando gli utenti accedono ai sistemi informativi e di rete da ubicazioni remote o quando accedono a informazioni sensibili o ad account privilegiati e ad account di amministrazione dei sistemi. L’autenticazione a più fattori può essere combinata con altre tecniche volte a richiedere fattori aggiuntivi in circostanze specifiche, sulla base di norme e modelli predefiniti, quali l’accesso da un’ubicazione, da un dispositivo o in un orario insoliti.
In merito al controllo degli accessi è richiesto di garantire che la forza dell’autenticazione sia adeguata alla classificazione della risorsa a cui si accede; controllare l’assegnazione agli utenti e la gestione delle informazioni segrete di autenticazione mediante un processo che garantisca la riservatezza delle informazioni, compresa la consulenza al personale in merito alla gestione adeguata delle informazioni di autenticazione; richiedere la modifica delle credenziali di autenticazione all’inizio, a intervalli predefiniti e qualora si sospetti che le credenziali siano state compromesse; imporre una reimpostazione delle credenziali di autenticazione e il blocco degli utenti dopo un numero predefinito di tentativi di accesso non riusciti; terminare le sessioni inattive dopo un periodo predefinito di inattività; e richiedere credenziali separate per gli accessi privilegiati o l’accesso ad account di amministrazione.
Le raccomandazioni del Cybersecurity and Infrastructure Security Agency. (CISA)
La Cybersecurity and Infrastructure Security Agency (CISA) ha portato alla “luce del sole” una verità conosciuta da molti!
Ci si riferisce all’utilizzo di SMS per l’autenticazione multi fattore; pratica molto diffusa anche se molto rischiosa in termini di sicurezza delle informazioni in quanto i messaggi SMS non sono crittografati.
La Cybersecurity and Infrastructure Security Agency (CISA) ha identificato attività di spionaggio informatico da parte di attori di minacce affiliati al governo della Repubblica popolare cinese (RPC) che prendono di mira le infrastrutture di telecomunicazioni commerciali.[3]
Questa attività ha consentito il furto dei registri delle chiamate dei clienti e la compromissione delle comunicazioni private per un numero limitato di individui altamente presi di mira.
Sebbene applicabile a tutti i tipi di pubblico, questa guida si rivolge specificamente a soggetti “altamente presi di mira” che ricoprono posizioni governative o politiche di alto livello e che probabilmente possiedono informazioni di interesse per questi autori di minacce. CISA sta pubblicando questa guida alle migliori pratiche per promuovere la protezione delle comunicazioni mobili dallo sfruttamento da parte di soggetti affiliati alla RPC e di altri attori di minacce informatiche dannose.
Migliori pratiche CISA esorta vivamente i soggetti altamente presi di mira a rivedere e applicare immediatamente le migliori pratiche riportate di seguito per proteggere le comunicazioni mobili. Gli individui altamente presi di mira dovrebbero presupporre che tutte le comunicazioni tra dispositivi mobili, compresi i dispositivi governativi e personali, e i servizi Internet siano a rischio di intercettazione o manipolazione. Sebbene nessuna singola soluzione elimini tutti i rischi, l’implementazione di queste best practice migliora significativamente la protezione delle comunicazioni sensibili contro attori informatici dannosi affiliati al governo e di altro tipo.
Le organizzazioni (aziende, enti, ecc.) potrebbero già disporre di queste best practice, come piattaforme di comunicazione sicure e policy di autenticazione a più fattori (MFA). Nei casi in cui le organizzazioni non siano compliance, vanno applicate le seguenti best practice ai tuoi dispositivi mobili.
Consigli generali
1. Utilizzare solo comunicazioni crittografate end-to-end.
· Adottare un’applicazione di messaggistica gratuita per comunicazioni sicure che garantisca la crittografia end-to-end, come Signal o app simili. CISA consiglia un’app di messaggistica crittografata end-to-end compatibile sia con i sistemi operativi iPhone che Android, consentendo l’interoperabilità dei messaggi di testo tra le piattaforme. Tali app possono anche offrire client per MacOS, Windows e Linux e talvolta il Web. Queste app in genere supportano chat di testo individuali, chat di gruppo con un massimo di 1.000 partecipanti e chiamate vocali e video crittografate. Inoltre, possono includere funzionalità come messaggi e immagini che scompaiono, che possono migliorare la privacy. Quando si seleziona un end-to-end app di messaggistica crittografata, valutare la misura in cui l’app e i servizi associati raccolgono e archiviano i metadati.
2. Abilitare l’autenticazione resistente al phishing Fast Identity Online (FIDO).
L’autenticazione FIDO utilizza la forma più potente di MFA ed è efficace contro le tecniche di bypass MFA. Ove possibile, le chiavi di sicurezza FIDO basate su hardware, come Yubico o Google Titan, sono le più efficaci; tuttavia, le passkey FIDO rappresentano un’alternativa accettabile.
· Fare l’inventario degli account importanti, inclusi la posta elettronica e i social media. Esaminare tutti gli account in cui la fuga di informazioni potrebbe avvantaggiare gli autori delle minacce.
· Registrare ciascun account nell’autenticazione basata su FIDO, in particolare gli account Microsoft, Apple e Google. Una volta registrato nell’autenticazione basata su FIDO, disabilitare le altre forme di MFA meno sicure.
· Per gli utenti Gmail, iscriversi al programma Advanced Protection (APP) di Google, poiché rafforza le vostre difese contro il phishing e la compromissione dell’account
Eseguire la migrazione dall’MFA basato su SMS (Short Message Service).
3. Non utilizzare gli SMS come secondo fattore per l’autenticazione.
I messaggi SMS non sono crittografati: un autore di minacce con accesso alla rete di un fornitore di telecomunicazioni che intercetta questi messaggi può leggerli.
L’MFA SMS non è resistente al phishing e pertanto non rappresenta un’autenticazione forte per gli account di individui altamente presi di mira.[4]
· Per gli account di minor valore, utilizzare altre forme di MFA come i codici di autenticazione. Configura questi account con un’applicazione di autenticazione gratuita per MFA, come Google Authenticator, Microsoft Authenticator o Authy. Nota: sebbene i codici di autenticazione siano migliori degli SMS, sono comunque vulnerabili al phishing. Solo l’autenticazione FIDO è resistente al phishing.
· Una volta iscritto, disabilitare gli SMS per ciascun account. La registrazione nell’MFA basata su autenticatore non annulla automaticamente la registrazione degli SMS dell’account. Ciò può creare un meccanismo di fallback debole e sfruttabile che può essere sfruttato dagli autori delle minacce.
4. Utilizza un gestore di password per archiviare tutte le password.
Alcuni gestori di password, come l’app Apple Passwords, LastPass, 1Password, Google Password Manager, Dashlane, Keeper e Proton Pass, avvisano automaticamente in caso di password deboli, riutilizzate o trapelate. Inoltre, alcuni di questi gestori di password generano codici di autenticazione.
· Proteggere la password dell’insieme di credenziali (primaria) con una passphrase complessa (ad esempio lunga, univoca e casuale).
· Esaminare le password esistenti per assicurarsi che siano lunghe, univoche e casuali. In caso contrario, passare alle password generate dal gestore password. Per ulteriori informazioni, consultare la guida CISA sull’utilizzo di password complesse.
5. Impostare un PIN Telco.
La maggior parte dei provider di telecomunicazioni offre la possibilità di impostare un PIN o un passcode aggiuntivo per il tuo account di telefonia mobile. Questo PIN è necessario per accedere al tuo account o completare operazioni sensibili, come il trasferimento del tuo numero di telefono, un passaggio fondamentale per contrastare le tecniche di scambio del modulo di identità dell’abbonato (SIM). · Aggiungi un PIN e un MFA all’account del tuo operatore di telefonia mobile per ridurre il rischio di tecniche di scambio della SIM. Quindi, utilizza il tuo gestore di password per modificare la password del tuo account mobile.
Aggiornare regolarmente il software.
· Aggiornare regolarmente i sistemi operativi e le applicazioni sui dispositivi mobili. Controlla settimanalmente per assicurarti che i dispositivi siano aggiornati.
· Abilitare l’aggiornamento automatico sui dispositivi mobili per garantire l’applicazione tempestiva di patch al sistema operativo e alle applicazioni.
7. Scegliere la versione hardware più recente del produttore del tuo cellulare.
L’hardware più recente spesso incorpora funzionalità di sicurezza critiche che l’hardware precedente non è in grado di supportare. Senza la versione più recente dell’hardware, gli aggiornamenti software da soli non forniranno i massimi vantaggi in termini di sicurezza disponibili.
8. Non utilizzare una rete privata virtuale personale (VPN).
Le VPN personali spostano semplicemente i rischi residui dal tuo provider di servizi Internet (ISP) al provider VPN, spesso aumentando la superficie di attacco. Molti provider VPN gratuiti e commerciali hanno politiche di sicurezza e privacy discutibili. Tuttavia, se la tua organizzazione richiede che un client VPN acceda ai propri dati, si tratta di un caso d’uso diverso.
[1] Link: https://it.wikipedia.org/wiki/Autenticazione#:~:text=Il%20sistema%20di%20riconoscimento%20biometrico,mano%20e%20retina%20dell’occhio.
[2] recante modalità di applicazione della direttiva (UE) 2022/2555 per quanto riguarda i requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza e l’ulteriore specificazione dei casi in cui un incidente è considerato significativo per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i prestatori di servizi fiduciari
[3] Per una compiuta disamina del testo CISA si rinvia all’originale consultabile al seguente Link: www.cisa.gov/sites/default/files/2024-12/guidance-mobile-communications-best-practices.pdf
[4] Nota: alcuni servizi online potrebbero utilizzare SMS per impostazione predefinita durante i flussi di recupero dell’account; potrebbe non essere possibile eliminare completamente i messaggi SMS dal servizio.
