Attacchi informatici, una minaccia in espansione
A cura di Carlo Baia, Director e Federico Lombardi, Cybersecurity Advisor
Meno di un secondo. È questo il tempo medio necessario, nel 70% dei casi, affinché gli attaccanti riescano a compromettere le password dei nostri account tramite un banale attacco bruteforce. Una statistica che dovrebbe già essere sufficientemente convincente a sottolineare quanto l’utilizzo delle sole password quale metodo di autenticazione sia quantomeno imprudente. Se ciò non basta, si consideri che solo tra il 2017 e il 2020 più di 550 milioni di password sono state compromesse e pubblicate sul dark web, contribuendo ad alimentare ulteriormente un bacino di credenziali rubate che già nel 2020 contava 15 miliardi di account compromessi e disponbili online per l’acquisto.
Per una UX sempre più user-centric: evoluzione della MFA verso soluzioni passwordless
ILa logica risposta a tali rischi è stata la naturale evoluzione delle soluzioni di autenticazione verso meccanismi più innovativi e più sicuri, conosciuti oggi con l’acronimo di MFA (Multifactor Authentication) e diffusi nelle più disparate forme, dalla richiesta di codici di sicurezza, quali codici OneTimePassword (OTP), da inserire in aggiunta alle tradizionali credenziali alla biometria. Le soluzioni MFA richiedono infatti all’utente di verificare la propria identità non più tramite il solo inserimento di una coppia di informazioni ad esso collegati (e.g. combinazione username e password), ma anche attraverso la prova o la combinazione di:
- qualcosa che conosce (PIN o un codice One Time Password);
- qualcosa che possiede (token fisici o smart card o device);
- qualcosa che è, attraverso la scansione dei dati biometrici, come impronte digitali o riconoscimento facciale;
Nonostante gli ottimi risultati raggiunti dalla MFA in termini di sicurezza (già nel 2019 preveniva il 100% degli attacchi bruteforce e degli attacchi automatici via bot), l’adozione della MFA non è priva di sfide e limitazioni. Da un lato, la sicurezza della MFA è sensibilmente influenzata dal comportamento degli utenti e dipende fortemente dal fattore umano: ingenuità e scarsa attenzione possono vanificare anche i sistemi più avanzati, rendendo gli utenti vulnerabili ad attacchi di social engineering, quali MFA Prompt Bombing o le tristemente note truffe telefoniche. Dall’altro lato vige l’annoso problema della user experience. Molti utenti considerano la MFA scomoda e poco intuitiva: che sia attraverso un OTP fornito via email o SMS, un codice generato da un autenticatore o la verifica biometrica, il processo di autenticazione è spesso considerato fastidioso e poco agevole, decisamente in contrasto con la velocità e la semplicità di accesso di cui gli utenti vorrebbero sempre godere.
A tutto ciò si aggiunge un’ulteriore sfida. Agli attaccanti basta un unico tentativo riuscito per compromettere la sicurezza dei nostri account, mentre gli utenti, esposti ad attacchi, insidie e minacce sempre più numerose e subdole, sono costretti a sopportare l’onere di prestare sempre la massima attenzione quando interagiscono online. È facile intuire, quindi, quanto l’autenticazione rappresenti una delle sfide più complesse per la società digitale contemporanea: la crescente sofisticatezza degli attacchi informatici rende cruciale garantire elevati standard di sicurezza, ma gli utenti richiedono (e necessitano di) soluzioni di accesso fluide e intuitive, capaci di garantire protezione senza comprometterne la praticità. In una parola: passwordless.
I meccanismi di autenticazione più recenti ed innovativi superano i limiti dei metodi tradizionali, sostituendo la necessità di inserire credenziali di accesso con esperienze utente frictionless e seamless. È il caso, ad esempio, delle passkeys e delle soluzioni mobile token, che hanno trovato fortuna tra il vasto pubblico dei consumatori ma anche nei contesti enterprise proprio perché estinguono l’onere di ricordare codici complessi e la necessità di inserire o digitare password al momento dell’autenticazione. Il tutto si traduce in maggiore sicurezza, essendo ridotta la superficie di attacco per bruteforcing e social engineering, ed un’esperienza utente più efficace e soddisfacente.
Ulteriore vantaggio è il favorevole impatto per le aziende che attivano soluzioni passwordless - per i propri clienti o per i propri dipendenti – perché aiutano a ridurre significativamente le problematiche legate alla gestione delle credenziali. Reset delle password dimenticate, account bloccati e verifiche manuali diventano sempre di più un ricordo del passato, a beneficio invece di una migliorata efficienza operativa e di un’interazione con i servizi e sistemi aziendali più immediata e priva di ostacoli, tanto necessari quanto talvolta noiosi.
Nuovi trend emergenti: Continuous Authentication e Self-Sovereign Identity
Nonostante il loro successo, anche le tecnologie passwordless non sono esenti da rischi. Per quanto concerne le passkeys, ad esempio, il QRishing* e la possibile compromissione delle credenziali sincronizzate in cloud rappresentano minacce da non sottovalutare.
Il progredire delle tecnologie di sicurezza è infatti inevitabilmente accompagnato da una corrispondente evoluzione dei pattern di attacco, che rende impossibile eliminare completamente la possibilità di violazioni e accessi non autorizzati. Tale tandem sottolinea l'importanza di un innovativo approccio olistico: la sicurezza dei nostri account non può esaurirsi con il solo processo di autenticazione iniziale, e non è saggio considerare sicura una sessione utente sulla base della sola verifica effettuata al momento dell’accesso all’account. L’autenticazione richiesta in fase di login è solo l’inizio del processo di verifica dell’utente, e le numerose compromissioni di cui le statistiche parlano suggeriscono che non sia più - e forse non sia mai stata - sufficiente ad asserire la legittimità dell’utente e della relativa sessione. In altre parole, l’identità dell’utente deve essere monitorata costantemente e non dipendere esclusivamente dall’autenticazione effettuata con successo in fase di login.
Continuous Authentication: cos’è
Un ulteriore passo avanti mosso in tale direzione è rappresentato dai nuovi paradigmi di Continuous Authentication. Nato quale approccio che supera i metodi di autenticazione tradizionali “ad evento singolo”, la Continuous Authentication intende monitorare costantemente l'attività e il comportamento dell'utente durante tutta la durata dell'interazione con un dispositivo o un servizio, con lo scopo di identificare pattern sospetti e anomalie di utilizzo che possano suggerire la potenziale compromissione dell’account, indipendentemente dal fatto che l’utente abbia compiuto con successo l’autenticazione iniziale. Tra le soluzioni pratiche più diffuse emergono soprattutto l’autenticazione basata sul rischio (Risk-Based Authentication o Adaptive Authentication), che si sostanzia nella richiesta di misure di sicurezza aggiuntive - come un codice di verifica o utilizzo di autenticazione biometrica - durante la sessione (enforce di autenticazione), qualora siano rilevate interazioni sospette e/o vengano eseguite azioni distanti dai comportamenti appresi. A tal proposito, le più recenti tecnologie usufruiscono di strumenti di Machine Learning sempre più precisi, capaci, da un lato, di imparare e adattare l’algoritmo di calcolo del rischio alle nuove minacce e al comportamento utente, e dall’altro di migliorare l’accuratezza nel determinare scostamenti ed anomalie rispetto alle abitudini d’uso dell’utente (e.g. elaborando informazioni di contesto, comportamento e posizione).
L’approccio della Continuous Authentication – cuore del modello Zero-Trust Authentication, i cui principi fondanti sono proprio il monitoraggio e la verifica continua – ha spinto le comunità internazionali alla ricerca e definizione di nuovi protocolli per garantire interoperabilità e scambio continuo di segnalazioni. Ne è un esempio il protocollo CAEP (Continuous Access Evaluation Profile – ad oggi in versione draft) promosso da OpenID Foundation, il cui obiettivo è quello di fornire webhook sicuri per comunicare continuamente avvisi di sicurezza e cambiamenti di stato relativi agli utenti, promuovendo lo scambio di eventi e segnali di sicurezza tra più entità.
Ma il progresso non si ferma qui. Oltre alla verifica costante dell’identità dell’utente e la proliferazione di meccanismi di autenticazione sempre più robusti, come le soluzioni passwordless e/o il riconoscimento biometrio, l’autenticazione e l’identificazione utente del futuro stanno progredendo verso modelli a garanzia della piena tutela della privacy dell’utente, dotato del totale controllo delle proprie informazioni personali.
Self-Sovereign Identity, un nuovo modo di concepire l’autenticazione
La nuova “frontiera dell’autenticazione moderna” è quindi oggi rappresentata dai comunemente noti digital wallet, traduzione concreta del concetto di Self-Sovereign Identity (SSI) o Decentralized Identity. Normalmente nei tradizionali modelli centralizzati e, soprattutto, nei più recenti modelli di identità federata (un esempio concreto è rappresentato dal ruolo di Google o Facebook in ambito privato e SPID all’interno del contesto pubblico italiano), il soggetto terzo della relazione tra utente e Service Provider, noto come Identity Provider (spesso obiettivo e vittima di attacchi hacker), si occupa di gestire l’intero ciclo di vita dell’identità e ne è garante in via diretta verso il servizio richiesto da un utente. Gli innovativi sistemi di Self-Sovereign Identity (SSI), invece, garantiscono che sia l’utente stesso l’unico possessore della/e credenziale/i che lo identificano e/o accreditano. L’utente diventa dunque il solo soggetto autorizzato a selezionare e sottoporre a verifica le informazioni di autenticazione presso il servizio richiesto (i.e. Service Provider), in un modello totalmente decentralizzato e reso possibile grazie alle tecnologie a registro distribuito (siano esse basate su blockchain e/o infrastrutture DPKI).
Nel nuovo paradigma dei wallet, la cui adozione in Europa è incentivata dalla Commissione Europea attraverso il progetto “European Digital Identity Regulation”, un attore verificato e considerato attendibile (quale un ente governativo o un’istituzione pubblica o privata accreditata come “Issuer” all’interno della rete) rilascia credenziali all’utente, fornendo dunque garanzia di legittimità e validità. Tali credenziali vengono salvate presso il wallet dell’utente agendo come “certificati digitali” a conferma dell’identità del relativo titolare; la loro regolarità può sempre essere verificata utilizzando i registri distribuiti e, nel caso dell’implementazione europea, sfruttando anche tecniche avanzate di crittografia.
A questo punto solo l’utente può usufruire in autonomia delle proprie credenziali, ottenendo così:
- il potere di decidere quali informazioni fornire al Service Provider – noto come “Verifier” nell’architettura SSI - circoscrivendo la presentazione della/e credenziale/i solo a quelle strettamente necessarie all’autenticazione tramite meccanismi noti come “selective disclosure” (beneficiando, dunque, di una reale implementazione del concetto di “need-to-know”);
- maggiore portabilità e trasversalità;
- maggiore privacy, essendo l’attore che certifica le credenziali (Issuer) di fatto impossibilitato a conoscere dove queste vengano utilizzate grazie al modello di “federazione indiretta”, in cui l’utente diventa con il suo wallet esso stesso “Identity Provider”.
Le sfide per il futuro
L’evoluzione delle soluzioni SSI apre la strada a nuove possibilità di integrazione, con ancora ampi margini di miglioramento. Il tema più interessante è certamente quello di capire come potenziare il nuovo paradigma di SSI con i benefici degli attuali meccanismi di autenticazione passwordless, così da garantire all’utente una tecnologia completa della massima privacy e della UX desiderata. Tra i temi più delicati vi è l’inevitabile scalata della curva di apprendimento all’utilizzo, rappresentando la SSI di fatto una novità per l’utente finale, e una UX da rinnovare, adeguando i sistemi decentralizzati alle abitudini dell’autenticazione moderna.
Emerge poi un altro spunto di riflessione particolarmente rilevante: in un ambiente altamente interconnesso come quello odierno, gli utenti interagiscono con sempre maggiore frequenza con più dispositivi, necessitando di accessi cross-device e multi-device che garantiscano interoperabilità e rapidità. Quella che un tempo era una mera comodità si è trasformata ora in una funzionalità essenziale: consentire agli utenti di utilizzare più dispositivi – pc e smartphone in contesti aziendali, espandendo la considerazione anche ai dispositivi wearable nella quotidianità - mantenendo impeccabile la qualità del servizio e fornendo un'esperienza d'uso agevole, soddisfacente e senza soluzione di continuità.
La vera sfida del futuro, dunque, consiste nel rendere la Next Gen Authentication non solo reale, ma naturale, offrendo agli utenti una rivoluzionata libertà tecnologica priva di compromessi, che sappia coniugare maggiore sicurezza, piacevole usabilità e privacy senza precedenti.
*Tecnica di phishing che, tradizionalmente, prevede lo sfruttamento dei QR code per reindirizzare le vittime a siti Web malevoli. Nel caso delle passkeys, uno schema di attacco tipico consiste nel convincere l'utente a scansionare un QR code (legittimo) mostrato presso il dispositivo del malintenzionato al fine di ottenere l'accesso all'account della vittima.