Tips#23 – l’MFA è imporante?

Perchè oggi non si può ignorare l’MFA (Multi Factor Authentication)?

Per meglio comprendere l’entità e l’importanza dell’MFA per le imprese vorrei partire da un po’ di numeri e informazioni:

• Le password da sole sono un facile bersaglio: secondo Microsoft, oltre il 99,9% degli account compromessi non aveva attivato l’MFA: un’enorme vulnerabilità evitabile (1)

• Le violazioni più gravi spesso avvengono proprio per mancanza di questa protezione di base come riporta un questo articolo The World Street Journal

• Nel 2023 il costo medio di un data breach ha raggiunto i 4,5 milioni di dollari, con un incremento del 2,3% rispetto all’anno precedente (2)

Non si può poi ignorare l’entrata in vigore di specifiche normative europee – come la NIS2 – che introducono l’MFA obbligatoria laddove la sua assenza rappresenti un rischio per la sicurezza dell’accesso alle risorse critiche (v. articoli 21.2.i e 21.2.j)  e che, insieme a controlli come role-based access control e il principio del least privilege, specifica come l’MFA rientri tra le misure minime richieste per la conformità .

 

Ma qual è la situazione oggi?

➡️  Le aziende medio‑piccole sono più indietro: il 62% non ha ancora implementato l’MFA  (3)
➡️ L’adozione dell’MFA ha già dimostrato grandi benefici riducendo il rischio di compromissione del 99,22% e protegge oltre il 99,99% degli account MFA-abilitati (4)

 

Come si implementa l’MFA in azienda?

Implementare l’autenticazione a più fattori richiede la scelta di metodi adeguati alle esigenze dell’organizzazione, bilanciando sicurezza, usabilità e costi. Una delle soluzioni più diffuse è l’uso di applicazioni di autenticazione che generano codici temporanei, come ad esempio quelle installabili sugli smartphone dei dipendenti. Questo approccio offre un buon livello di sicurezza e facilità d’adozione, anche in ambienti con utenti non particolarmente tecnici.

Un’alternativa più robusta è rappresentata dai token fisici, come le smart card o le chiavi di sicurezza USB, che garantiscono un controllo più stretto degli accessi ma comportano una gestione logistica più complessa. In alcuni contesti aziendali si stanno diffondendo anche i sistemi biometrici, basati su impronta digitale, riconoscimento facciale o dell’iride, che semplificano l’esperienza utente senza compromettere la protezione.

Con l’evoluzione delle tecnologie, si stanno affermando anche approcci più intelligenti, come l’autenticazione adattiva. In questo caso il sistema valuta variabili contestuali, ad esempio l’orario, il dispositivo utilizzato o la posizione geografica, per decidere se richiedere un ulteriore fattore di autenticazione. Queste soluzioni si integrano bene in ambienti dinamici e con personale distribuito su più sedi o in smart working.

La chiave per un’implementazione efficace è scegliere una soluzione coerente con l’infrastruttura esistente, coinvolgere le risorse umane nella fase di onboarding e assicurarsi che le politiche di accesso siano documentate, monitorate e aggiornate nel tempo.

 

Quali sono invece i problemi da evitare?

Anche se l’MFA è una delle misure più efficaci per prevenire accessi non autorizzati, la sua introduzione può generare alcune difficoltà, soprattutto se non è pianificata con attenzione. Una delle prime criticità è la scelta di metodi obsoleti o vulnerabili, come l’autenticazione tramite SMS. Sebbene ancora utilizzata, questa modalità è facilmente aggirabile attraverso tecniche come il SIM swap o l’intercettazione dei messaggi, rendendola inadatta a contesti in cui la sicurezza è una priorità.

Un altro problema sempre più diffuso è quello degli attacchi definiti “MFA fatigue” o “MFA bombing”, in cui l’aggressore invia ripetute richieste di conferma MFA all’utente, nella speranza che quest’ultimo, esasperato o distratto, accetti l’accesso. Per prevenire questo tipo di attacchi è utile adottare metodi che richiedano una validazione più consapevole, come i codici univoci, la conferma tramite push con dettaglio dell’accesso richiesto, o meccanismi biometrici.

Va inoltre considerata la resistenza al cambiamento da parte degli utenti, soprattutto in aziende dove l’introduzione di nuove tecnologie può essere vissuta come un aggravio delle operazioni quotidiane. È importante quindi accompagnare l’adozione dell’MFA con una comunicazione chiara, momenti formativi e supporto tecnico, per ridurre l’impatto iniziale e favorire l’accettazione da parte del personale.

Infine, l’MFA non è una soluzione “installata e dimenticata”: va gestita nel tempo, con controlli periodici, aggiornamenti dei dispositivi autorizzati e revoca tempestiva degli accessi non più necessari. Solo in questo modo è possibile assicurarsi che questa importante misura di sicurezza rimanga efficace anche nel lungo periodo.

 

Conclusione

Se ancora non vi siete preoccupati di introdurre questo fondamentale strumento di protezione nella vostra azienda, vi consigliano di farlo rapidamente e di chiedere il supporto tecnico di esperti.