Il punto di vista di Cyber Academy
MFA è il requisito per cui l'autenticazione utilizza due o più fattori appartenenti a categorie distinte (conoscenza, possesso, inerenza). Non tutte le MFA sono equivalenti: i codici via SMS e via e-mail sono soggetti a phishing, le notifiche push espongono a fenomeni di fatigue, i token hardware e le passkey rappresentano le forme più robuste. NIS 2 e DORA impongono entrambi una MFA "forte" sugli accessi critici.
Cosa conta come fattore, e perché è importante
L'autenticazione a più fattori richiede due o più prove di identità tratte da categorie diverse, così che compromettere una non consegni l'account a un aggressore. Le tre categorie classiche sono la conoscenza (qualcosa che sai, come una password o un PIN), il possesso (qualcosa che hai, come un telefono, una chiave di sicurezza o una smart card) e l'inerenza (qualcosa che sei, come un'impronta digitale o il volto). La parola decisiva qui è diverse. Due password non costituiscono autenticazione a più fattori, perché appartengono alla stessa categoria e cadono di fronte agli stessi attacchi. Una password più un codice da un dispositivo separato sì, perché ora un aggressore deve sconfiggere due controlli indipendenti contemporaneamente.
È anche qui che la MFA e la gestione delle identità si incontrano. La MFA rafforza solo la fase di autenticazione, il momento in cui un utente dimostra chi è. Non dice nulla su ciò che quell'utente è poi autorizzato a fare, che è l'autorizzazione, né sul provisioning, sul deprovisioning o sulle revisioni degli accessi. Considerate la MFA come uno strato rafforzato all'interno di un programma IAM più ampio, non come un sostituto del privilegio minimo o della pulizia degli account orfani.
Non tutte le MFA sono uguali
L'intuizione più importante del professionista è che la MFA esiste lungo uno spettro di robustezza, e la differenza non è cosmetica. I codici monouso via SMS ed e-mail sono migliori di una password da sola, ma sono soggetti a phishing: una pagina di accesso falsa e convincente chiede semplicemente alla vittima di digitare il codice, e un aggressore lo ritrasmette in tempo reale. Il SIM swapping peggiora ulteriormente l'SMS.
Le approvazioni tramite notifica push aggiungono un tocco, ma invitano alla fatica da MFA, in cui un aggressore che possiede già la password tempesta di richieste di approvazione finché un utente stanco ne accetta una. Le forme robuste sono fattori di possesso legati al sito legittimo: chiavi di sicurezza hardware e passkey costruite su FIDO2 e WebAuthn. Poiché la credenziale è legata crittograficamente al dominio reale, non rilascia nulla a una pagina che imita l'originale. È questa proprietà che si intende per MFA resistente al phishing.
| Metodo | Categoria | Resistente al phishing | Debolezza tipica |
|---|---|---|---|
| Codice via SMS o e-mail | Possesso (debole) | No | Ritrasmesso su pagine false, SIM swap |
| App di autenticazione TOTP | Possesso | No | Il codice può essere sottratto via phishing in tempo reale |
| Approvazione push | Possesso | No | Fatica da MFA e approvazione accidentale |
| Chiave hardware (FIDO2) | Possesso | Sì | Costo e logistica di registrazione |
| Passkey (WebAuthn) | Possesso più inerenza | Sì | Recupero e associazione al dispositivo |
Contesto normativo e degli standard
La MFA è passata da raccomandazione ad aspettativa in tutta la regolamentazione europea sulla cibersicurezza. NIS 2 impone alle entità essenziali e importanti di adottare misure di igiene informatica e di controllo degli accessi, con l'autenticazione a più fattori o continua espressamente indicata per la sicurezza degli accessi. DORA impone aspettative comparabili al settore finanziario, dove l'autenticazione forte protegge le funzioni critiche e l'accesso remoto.
Entrambi i quadri propendono verso l'estremità forte dello spettro anziché considerare sufficiente qualsiasi MFA. La stessa direzione emerge nelle linee guida del NIST, che privilegiano gli autenticatori resistenti al phishing per gli accessi ad alto valore, e in quadri di riferimento come ISO/IEC 27001 e i CIS Controls, che trattano la MFA come una salvaguardia fondamentale del controllo degli accessi.
Ciò che i professionisti fanno realmente è scaglionare l'implementazione in base al rischio. Proteggono prima gli account privilegiati e amministrativi, poi l'accesso remoto ed esposto a Internet, quindi la popolazione generale degli utenti, e scelgono metodi resistenti al phishing ovunque l'impatto di una compromissione sia elevato. Pianificano con cura il recupero e la registrazione, poiché la perdita di fattori rappresenta un costo operativo reale, e monitorano gli schemi di fatica e di elusione. Fatta bene, la MFA toglie silenziosamente valore a una password rubata. Fatta come una casella da spuntare, dà un falso senso di sicurezza mentre il canale soggetto a phishing resta aperto.
Frequently asked questions
01Richiedere due password è autenticazione a più fattori?
No. Due password sono entrambe fattori di conoscenza, quindi cadono di fronte agli stessi attacchi contemporaneamente. La vera MFA combina fattori di categorie diverse, per esempio qualcosa che sai più qualcosa che hai o qualcosa che sei.
02Perché la MFA basata su SMS è considerata debole?
I codici SMS possono essere sottratti via phishing in tempo reale, perché una pagina di accesso falsa chiede semplicemente alla vittima di digitare il codice mentre un aggressore lo ritrasmette. Gli attacchi di SIM swap possono anche reindirizzare interamente il messaggio. L'SMS resta migliore di una password da sola, ma non è resistente al phishing.
03Che cos'è la MFA resistente al phishing?
È l'autenticazione in cui la credenziale è legata crittograficamente al sito legittimo, così da non poter essere riprodotta su una pagina che imita l'originale. In pratica significa chiavi di sicurezza hardware FIDO2 e passkey WebAuthn, che non rilasciano nulla di utile a un dominio falso.
04Che cos'è la fatica da MFA?
È un attacco in cui qualcuno che possiede già una password valida tempesta l'utente di richieste di approvazione push finché una persona stanca o distratta tocca approva. La corrispondenza dei numeri e la limitazione delle richieste aiutano, ma i metodi resistenti al phishing eliminano del tutto la debolezza.
05NIS 2 e DORA richiedono davvero la MFA?
Entrambi si attendono misure forti di controllo degli accessi e di autenticazione per gli accessi critici, e l'autenticazione a più fattori o continua ne fa esplicitamente parte. L'accento è posto su metodi forti anziché sul considerare sufficiente qualsiasi forma di MFA.