SentinelOne

Autenticazione a più fattori sotto attacco: i consigli di SentinelOne per proteggere l'identità

di pubblicata il , alle 14:01 nel canale Innovazione Autenticazione a più fattori sotto attacco: i consigli di SentinelOne per proteggere l'identità

L'autenticazione a più fattori è un ottimo modo per rendere più sicuri gli accessi ma da sola non è sufficiente. Errori umani, ma anche errate implementazioni, possono permettere a un attaccante di violare anche queste protezioni. I consigli di SentinelOne per proteggere l'indentità

 

La password, lo sappiamo bene, non è un metodo particolarmente efficace per proteggere gli accessi e da qualche anno la tendenza è quella di puntare sull'approccio MFA, l'autenticazione a più fattori, che rende più sicuri gli accessi chiedendo, oltre alle credenziali, anche un ulteriore codice OTP, inviato via SMS o generato tramite applicazioni di autenticazione. 

Sebbene l'autenticazione a più fattori aiuti a proteggere meglio gli accessi, le aziende non dovrebbero però abbassare le difese: SentinelOne ha rilevato un numero crescente di attacchi alle identità in grado di superare anche questo tipo di difese che, da sole, non sono sufficienti. "Il sistema MFA si basa principalmente sul comportamento umano e sul processo decisionale, fattori che possono incidere sul buon esito di un attacco poiché sono legati alla resilienza informatica dell'individuo che lo sta adottando", spiega Marco Rottigni, Technical Director di SentinelOne.

MFA: ecco come i criminali informatici riescono a violarla

Marco Rottigni Technical Director SentinelOne

Di per sé, le tecnologie di autenticazione a più fattori sono decisamente robuste e sicure, e sono in grado di proteggere gli accessi anche nel caso le credenziali vengano sottratte. Non sono però infallibili, sia per errori nell'implementazione, sia perché c'è sempre di mezzo una persona, che può essere portata, in vari modi, a commettere errori. 

Per esempio, portando l'utente allo sfinimento martellandolo di notifiche sino a che, per esasperazione o distrazione, concede involontariamente l'accesso. Questo metodo è tra l'altro molto semplice da mettere in atto: basta riuscire a trovare le credenziali della vittima, per esempio tramite una campagna di phishing, e poi continuare a effettuare tentativi di accesso. Quello che accadrà sarà che la vittima verrà bombardata da continue richieste di accesso sull'app installata sullo smartphone e, pur di farle cessare, a un certo punto darà l'OK, dando così l'accesso all'attaccante. 

Altri metodi, invece, sono più sofisticati e complicati da portare a termine, ma possono offrire maggiori garanzie di successo. Un classico esempio è quello dell'attacco del tipo "Man in the middle". In questo scenario, l'attaccante riesce a intercettare il flusso di comunicazioni fra l'utente e il server di autenticazione, sostituendosi all'utente. Questi, infatti, inconsapevolmente starà inviando credenziali e codice OTP al criminale, il quale le userà per accedere in tempo reale al suo posto. Un modo molto efficace per condurre questo tipo di attacchi può essere quello di manomettere i DNS, per esempio convincendo la vittima a collegarsi a un hotspot Wi-Fi controllato dagli attaccanti.

Un altro metodo molto diffuso è il classico "SIM swap", che funziona in tutti i quei casi in cui il codice OTP viene inviato tramite SMS (cosa che sconsigliamo vivamente di fare: meglio usare app, chiavi hardware o soluzioni più robuste). L'attaccante riesce a convincere il provider telefonico a cambiare la SIM della vittima, per esempio dichiarando di aver smarrito il telefono, reindirizzando a tutti gli effetti i codici OTP su quella nuova, controllata dagli hacker, che avranno così ottenuto il loro scopo. Fortunatamente, le nuove regole di portabilità imposte da AGCOM rendono questi attacchi molto più complicati

Un'ulteriore tattica usata dai criminali informatici è il cosiddetto "Pass the cookie". Consiste nel sottrarre alla vittima un cookie di autenticazione che verrà poi usato su un altro browser per accedere al suo posto, senza dover reinserire le credenziali.

Mettere in sicurezza MFA: i consigli di Marco Rottigni di SentinelOne

Secondo Rottigni, questi limiti non dovrebbero scoraggiare le aziende dall'adottare l'autenticazione a più fattori, che è comunque molto efficace. È però importante implementare ulteriori livelli di protezione. Nello specifico, il direttore tecnico di SentinelOne suggerisce le seguenti azioni per mitigare i rischi: 

  • Aggiungere più informazioni e contesto ai login degli utenti. Anziché limitarsi a richiedere un semplice "accetta" o "nega" per l'autenticazione, è possibile aggiungere dettagli come l'ID globale, la posizione e il nome del dispositivo.
  • Le soluzioni MFA andrebbero legate a URL, host e dispositivi specifici per impedire l'accesso diretto alla risorsa in caso di attacco "Man in the Middle".
  • Assicurarsi che la soluzione MFA richieda un rigoroso processo di reset e ripristino e che i cookie di sessione, i token di sicurezza e i valori di seed siano impostati per scadere in meno di 24 ore.
"Sebbene strategie di cybersecurity più solide includano strumenti di sicurezza basati sull'identità, come la gestione dell'identità e degli accessi (IAM) e la gestione degli accessi privilegiati (PAM), questi sono solo il punto di partenza per stabilire una protezione basata sull'identità a lungo termine", spiega Rottigni. "Strumenti moderni e innovativi di gestione delle identità opereranno in sinergia con solide piattaforme di cybersecurity come l'Extended Detection and Response (XDR) per proteggere le identità digitali e i sistemi che le gestiscono. Una combinazione di entrambi riduce la superficie di attacco complessiva delle identità, in quanto limita l'esposizione dell'azienda agli attacchi, monitorando costantemente i segnali di vettori comuni e nuovi basati sulle identità".
5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
marcram16 Gennaio 2023, 16:27 #1
La differenza tra password e OTP, è che la password può essere gestita male sia dal fornitore che dall'utente, mentre l'OTP soltanto dal fornitore.
Se il fornitore di servizi implementa bene il sistema OTP (compreso il non usare gli sms...), allora non vedo possibili problemi nell'usarlo.

Il pericolo del man-in-the-middle ci sarà sempre, indipendentemente dal modo di autenticarsi, e dipende solo dalla sicurezza della comunicazione.
Sandro kensan16 Gennaio 2023, 18:19 #2
Con un documento falso e con un bella denuncia di smarrimento del telefono/sim firlata dai carabinieri, falsa, Ti presenti dal ragazzo che ha il negozio TIM/Vodafone che ti fa qualsiasi SIM tu gli chieda. Con la SIM porti l'app per l'autenticazione a due fattori dal telefono della vittima al tuo telefono.

Un gioco da ragazzi.

Ovviamente non lo fai per rubare la rubrica telefonica ma per un bottino sostanzioso e bello grosso.

Chi ha detto svuotare il conto corrente che quasi tutti hanno sul cell?
lugligino16 Gennaio 2023, 20:41 #3

@Sandro

È così facile falsificare una cie o una patente elettronica mettendo dati anagrafici coerenti? Come sanno il mio nome e l'indirizzo?
marchigiano17 Gennaio 2023, 00:21 #4
Originariamente inviato da: Sandro kensan
Con un documento falso e con un bella denuncia di smarrimento del telefono/sim firlata dai carabinieri, falsa, Ti presenti dal ragazzo che ha il negozio TIM/Vodafone che ti fa qualsiasi SIM tu gli chieda. Con la SIM porti l'app per l'autenticazione a due fattori dal telefono della vittima al tuo telefono.

Un gioco da ragazzi.

Ovviamente non lo fai per rubare la rubrica telefonica ma per un bottino sostanzioso e bello grosso.

Chi ha detto svuotare il conto corrente che quasi tutti hanno sul cell?


adesso non facciamola così facile... documenti falsi? ci vuole una bella attrezzatura. devi poi avere i documenti del vero proprietario per copiare i dati. poi devi avere la pass della banca, che a volte ti chiede anche alcuni dati personali per attivare il token sul nuovo telefono. infine metti che fai il bonifico, se la cifra è grossa spesso telefonano al correntista chiedendo alcuni dati. nel frattempo è passato un giorno in cui uno ha la sim disattivata, magari se non è proprio imbornito dovrebbe prendere subito provvedimenti e bloccare tutto.

ma il ladro poi quanto rischia? con tutte le telecamere che girano è facile riconoscerlo, uno che falsifica una denuncia dei carabinieri quanto gli danno?
mrk-cj9422 Gennaio 2023, 16:15 #5
Originariamente inviato da: marchigiano
adesso non facciamola così facile... documenti falsi? ci vuole una bella attrezzatura. devi poi avere i documenti del vero proprietario per copiare i dati. poi devi avere la pass della banca, che a volte ti chiede anche alcuni dati personali per attivare il token sul nuovo telefono. infine metti che fai il bonifico, se la cifra è grossa spesso telefonano al correntista chiedendo alcuni dati. nel frattempo è passato un giorno in cui uno ha la sim disattivata, magari se non è proprio imbornito dovrebbe prendere subito provvedimenti e bloccare tutto.

ma il ladro poi quanto rischia? con tutte le telecamere che girano è facile riconoscerlo, uno che falsifica una denuncia dei carabinieri quanto gli danno?


concordo

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^