Josh Blackwelder, Deputy CISO di SentinelOne, spiega come superare la dipendenza di credenziali protette da password adottando l’efficace sistema FIDO 2.0.
In un’epoca in cui la sicurezza digitale è fondamentale, la dipendenza da password rimane una vulnerabilità significativa per le imprese.
Il sistema FIDO 2.0 è capace di ripensare l’autorizzazione delle credenziali con le nuove tecnologie disponibili. In questo documento si analizzano le criticità dei sistemi delle credenziali legacy e le nuove caratteristiche offerte dall’approccio FIDO 2.0.
Modifica dello status quo delle credenziali
A dispetto dei diversi metodi di autenticazione, l’uso prevalente di codici alfanumerici per gli accessi continua a compromettere la sicurezza dell’organizzazione.
Questo va oltre l’onere finanziario e sociale che grava sulle persone mentre cercano di capire se le loro informazioni sono state compromesse. In passato, questi attacchi venivano eseguiti con successo identificando una vulnerabilità all’interno di un sistema e sfruttandola con tattiche pertinenti. Tuttavia, oggi le aziende devono affrontare due minacce principali: gli attacchi di phishing e la compromissione dei dispositivi.
Attacchi di phishing
La violazione di Microsoft era evitabile se avessero adottato lo standard FIDO 2.0 offerto sui loro prodotti e che hanno incluso anche nel servizio GitHub. Con la compromissione di un singolo account attraverso tentativi di phishing riusciti, gli hacker sono stati in grado di mettere a rischio centinaia di organizzazioni e il problema si sta ampliando. L’AI ha notevolmente incrementato e perfezionato l’accuratezza degli attacchi di phishing e, mentre in passato si usava inviare e-mail scritte male a molti utenti, gli attacchi di oggi combinano la messaggistica creata dall’AI con le notifiche push via SMS e altre forme di contatto apparentemente non minacciose.
Questo ha ridotto la barriera d’ingresso per gli autori delle minacce che possono chiedere alle persone di fornire le chiavi di ingresso cliccando sul link “cambia password”, rispondendo a un testo apparentemente innocuo o inserendo le credenziali per sbarazzarsi di fastidiosi messaggi che sembrano arrivare dal reparto IT dell’azienda. Una volta entrato, l’hacker ha diritto di accesso a qualsiasi informazione o servizio che l’utente raggirato aveva. L’implementazione della tecnologia FIDO 2.0 elimina il rischio di attacchi SIM Swap, attacchi di phishing IdP MITM, Push bomb, attacchi OTP MITM, password spraying e credenziali perse/riutilizzate.
Compromissione dei dispositivi
Le organizzazioni che consentono il lavoro a distanza o l’uso di dispositivi personali devono affrontare un ulteriore livello di sicurezza, i dispositivi sconosciuti. I responsabili IT hanno sempre avuto difficoltà a identificare e autorizzare tutti i dispositivi in una rete, affidandosi a nomi utente, password e altre tecniche di autenticazione alfanumerica. Il pericolo sta nella possibilità che anche questi metodi di autenticazione a due fattori possano essere compromessi insieme alle credenziali dell’utente. A ciò si aggiunge la diffusione del single sign-on, ma se un utente è compromesso, lo sono anche i suoi profili creati in tutti gli strumenti ai quali ha dato accesso al single point.
FIDO 2.0 consente di migliorare l’autenticazione e gli standard
L’incapacità di far evolvere le credenziali di accesso insieme ad altre tecnologie è stata riconosciuta da Google, Microsoft, Amazon, Apple e altri. Per colmare il divario di sicurezza e impedire alle organizzazioni di cadere vittime di attacchi alle credenziali, con il progetto FIDO sono stati creati nuovi standard che sfruttano l’attuale sicurezza on-chip necessaria per autenticare correttamente sia i singoli utenti che i dispositivi su cui operano. Esempi di dispositivi che sono già presenti nel mondo e conformi a Fast IDentity Online 2.0 (FIDO) sono quelli che richiedono già un qualche tipo di autenticazione biometrica o token.
Ciò include quelli con riconoscimento facciale, impronta digitale o token di dispositivi fisici come una carta o chiavette NFC. La forza di questo sistema risiede nella simmetria tra i dispositivi dell’utente e l’autenticazione del software. Analogamente all’autenticazione avanzata dei principali smartphone, FIDO 2.0 impone la verifica reciproca da parte delle organizzazioni in base ad approvazioni e credenziali stabilite. Con l’aggiunta di questo livello di protezione, le combinazioni di nome utente e password su cui facciamo affidamento diventano solo una parte di un processo di autenticazione più complicato e un ostacolo significativo per gli autori delle minacce.
Protezione degli endpoint e del cloud
Poiché gli attacchi di phishing continuano a prendere di mira tutti gli utenti, non sorprende che il successo sia rappresentato dalla violazione delle aziende. Data la disponibilità di queste funzionalità sui dispositivi aziendali (e l’adattabilità per quelli più vecchi), è essenziale un intervento urgente da parte del management per adottare questi standard per prevenire potenziali crisi multimilionarie.
Perché FIDO 2.0 è più sicuro di Username e Password?
FIDO 2.0 si basa su un processo di autenticazione molto solido. Innanzitutto, ogni dispositivo o token hardware deve essere registrato singolarmente per consentire l’autenticazione FIDO 2.0, creando una coppia di chiavi pubblica/privata. Nel caso di un iPhone abbinato a un provider privato come MS Entra ID o OKTA, l’interfaccia utente guiderà l’utente attraverso il processo di registrazione.
Come funziona? La porzione di chiave pubblica viene salvata nel servizio web e assegnata all’identità dell’utente. Sul lato del dispositivo dell’utente, la chiave privata viene archiviata all’interno del dispositivo di sicurezza del telefono o del laptop. Al momento dell’autenticazione dell’utente ai servizi Web registrati, il servizio Web richiede all’utente la “Passkey” (la chiave privata memorizzata nel telefono o nel laptop), all’utente verrà quindi richiesto di sbloccare lo spazio protetto del dispositivo consentendo l’uso della chiave privata per completare la parte di richiesta/risposta del processo di autenticazione.
La chiave privata non lascia mai il dispositivo ed è molto più sicura di un nome utente/password tradizionale. Anche se i nomi utente e la password verranno utilizzati insieme all’autenticazione FIDO 2.0 per qualche tempo in futuro, in un’implementazione FIDO 2.0 non possono essere utilizzati senza la parte di richiesta/risposta della chiave privata del processo di autenticazione, ciò significa che se il nome utente / password viene perso o rubato, è di scarso valore e non può essere utilizzato da solo per l’autenticazione.