Multi-Factor Authentication: è davvero una panacea?
A cura di Enrico Morisi
La Multi-Factor Authentication (MFA) si innesta in uno dei domini più importanti dell’Information Security, quello dell’Identity and Access Management.
Il tema dell’autenticazione è fondamentale e rappresenta una delle criticità di livello più elevato.
Come è noto, i tre principali vettori d’ingresso sfruttati nella fase di Reconnaissance, il primo stage della Cyber Kill Chain di attacco, sono rappresentati dal social engineering, dallo sfruttamento delle vulnerabilità tecnologiche e dalla conoscenza delle credenziali per l’autenticazione sui sistemi target, ampiamente disponibili sui mercati del Deep e Dark Web.
Quindi è di fondamentale importanza dotarsi di un layer di difesa predittivo, basato su attività di Threat Intelligence, per la continua ricerca e identificazione delle effettive minacce esterne, al fine di delineare un quadro molto chiaro degli asset che occorra gestire.
È decisivo focalizzarsi sulle cosiddette “root cause”.
Preoccuparsi, ad esempio, del fenomeno “ransomware” senza chiedersi come possa essere somministrato all’interno di un’organizzazione, significa perdere di vista il vero rischio da valutare e mitigare.
Un’azione volta al contrasto di questi tre principali vettori d’ingresso comporta la mitigazione di molti rischi che un’organizzazione corre nell’ambito dell’Information Security, secondo alcuni addirittura fino al 90%, ed è fondamentale contemplarla nella definizione delle priorità, prestando ovviamente estrema attenzione anche a tutto il resto: sottovalutare un rischio, seppure “residuale”, potrebbe costare molto caro perché non bisogna mai dimenticare che la cybersecurity è soprattutto una questione di dettagli.
Una delle strategie più efficaci ed economiche, e quindi più usate per il furto di credenziali, oltre alla diffusione di botnet, infostealer e RAT (Remote Access Trojan), e allo sfruttamento dei data breach, è lo stesso social engineering.
Social engineering e furto di credenziali rappresentano sostanzialmente due facce della stessa medaglia e sono utilizzati con successo in ben oltre la metà dei data breach andati a buon fine.
In un contesto di questo tipo, l’adozione di una soluzione basata su due o più fattori di autenticazione, che sia anche orientata a resistere ai più comuni attacchi di social engineering, costituisce un’azione di mitigazione imprescindibile ed estremamente efficace, rispondente alle logiche della strategia Zero Trust ed è talmente importante che non solo è annoverabile tra i primi progetti da gestire quando si decide di sviluppare un programma di Information Security per una data organizzazione, ma sarebbe da includere anche tra le metriche usate per mostrare al board i progressi raggiunti nel processo di mitigazione dei rischi emersi durante le attività di risk analysis.
I fattori di autenticazione si distinguono nelle seguenti tre tipologie che, se correttamente implementate, sono ritenute progressivamente più robuste, anche se non è da escludersi che pure le caratteristiche biometriche (le più “forti”) possano essere compromesse e, quando lo sono, per loro natura lo sono per sempre (e.g. furto, spoofing, skimming e replay attack):
- qualcosa che si conosce, come password, PIN e passphrase;
- qualcosa che si possiede, in generale un dispositivo fisico come authenticator app, smartcard, token hardware e drive USB;
- qualcosa che si è, basato sul riconoscimento biometrico, come impronte digitali, scansioni facciali, della retina, dell’iride, del palmo della mano e della voce.
Esistono anche altri attributi che possono essere coinvolti e che fanno ricorso a forme adattive di autenticazione basate su policy context-aware che tengano conto ad esempio da dove, quando e con quale dispositivo avvenga l’autenticazione stessa.
Il fatto che una soluzione MFA sia “phishing resistant”, semplicemente perché in grado di mitigare significativamente i più comuni attacchi di social engineering sferrati a danno della MFA stessa, come ad esempio il classico attacco Man-In-The-Middle, non significa però che sia “unphishable” o, più in generale, “unhackable”.
In presenza di un end point compromesso, ad esempio, non esistono soluzioni MFA sufficientemente robuste, come anche nel caso di compromissione della “catena” di fornitura della soluzione stessa (e.g. caso “Twitter” dell’estate 2020).
Inoltre, le opzioni di “recover” previste in caso di malfunzionamenti, sono tipicamente meno sicure delle soluzioni MFA stesse, si pensi ad esempio al caso in cui sia previsto l’invio di un codice via SMS e a come questa funzione possa essere sfruttata da un attaccante che, spacciandosi per il fornitore del servizio coinvolto, la usi per una falsa richiesta di “verifica” del legittimo proprietario delle credenziali di accesso.
Un tema molto dibattuto e di grande attualità è poi quello sull’effettiva e reale robustezza del fattore di riconoscimento biometrico, in particolare negli scenari di autenticazione da remoto, tanto che ENISA ha recentemente pubblicato un report, delineando le best practice per il Remote IDentity Proofing (RIDP) alla luce della digital transformation che l’Unione Europea sta perseguendo (e.g. eIDAS 2.0 per un accesso sicuro e trasparente al EU Digital Identity Wallet) e che fa pesante affidamento sugli identificatori biometrici. Report che fornisce anche una panoramica piuttosto completa dei “biometric attack”, identificando nel “deepfake presentation” e nel “data injection” le due minacce da mitigare più sfidanti.
Per non parlare del recente “game-changer”, vale a dire l’individuazione di un malware in grado di rubare e potenzialmente usare gli attributi biometrici, non più solo password o codici generati dalla MFA (un trojan per iOS orientato, in particolare, al furto dei dati di riconoscimento facciale degli utenti, probabilmente prima che vengano memorizzati nel “Secure Enclave” chip o durante il loro uso).
Come raccomandato anche dal NIST nelle sue “Digital Identity Guidelines”, anche gli attributi biometrici non dovrebbero essere usati come singolo fattore di autenticazione ma sempre abbinati ad un fattore fisico (e.g. FIDO2 security key).
Un’attenzione particolare andrebbe riservata alle soluzioni MFA, “phishing-resistant”, sviluppate dalla Fast IDentity Online (FIDO) Alliance, in collaborazione con il World Wide Web Consortium (W3C) per la definizione di uno standard web che costituisce un componente chiave del set di specifiche FIDO2, basato sulla public key cryptography per la generazione di una coppia di cryptographic key (passkey) unica per ogni servizio, in abbinamento anche all’uso di attributi biometrici e orientato al tanto auspicato abbandono delle “famigerate” password, così complicate da gestire e così esposte al furto e agli attacchi di social engineering.
L’obiettivo non è mai il perseguimento della piena e completa sicurezza, che semplicemente non esiste, ma la mitigazione di un determinato rischio, considerato significativo per una data organizzazione.
Adottare una soluzione MFA che sia “phishing-resistant” va proprio nella direzione di ridurre la probabilità che possa essere compromessa, compensando il rischio residuale con, ad esempio, un’adeguata formazione, finalizzata a rendere consapevole l’utente finale di ciò che la soluzione adottata potrebbe non prevenire, educandolo a riconoscere e a disinnescare un eventuale attacco: potrebbe essere sorprendentemente efficace anche solo far presente di prestare attenzione a quando i successivi fattori di autenticazione vengono richiesti senza che sia stato innescato alcun voluto processo di autenticazione.
In definitiva, nonostante si tratti di una soluzione di fondamentale importanza e di evidente utilità, come ha scritto Bruce Schneier: “like all security technologies, MFA is not a panacea”.