Autenticazione a uno, due e tre fattori

Ho incontrato di nuovo questo problema. Un’altra organizzazione che pensa che due identificatori utente e password costituiscano un’autenticazione a due fattori e soddisfino il requisito 8.3 di PCI DSS. Con tutta la documentazione disponibile su Internet, si potrebbe pensare che questo argomento sia stato trattato freddamente. Tuttavia, sembra esserci ancora confusione su ciò che costituisce l’autenticazione a uno, due e tre fattori, quindi ho pensato di dedicare del tempo a spiegare questi concetti.

Parliamo delle definizioni dei tre fattori di autenticazione.

• Autenticazione a un fattore – questo è “qualcosa che un utente conosce”. Il tipo più riconosciuto di metodo di autenticazione a un fattore è la password.
• Autenticazione a due fattori – oltre al primo fattore, il secondo fattore è “qualcosa che un utente ha”. Esempi di qualcosa che un utente ha sono un fob che genera un codice predeterminato, un certificato digitale firmato o anche un biometrico come un’impronta digitale. La forma più riconosciuta di autenticazione a due fattori è l’onnipresente fob RSA SecurID.
• Autenticazione a tre fattori – oltre ai due fattori precedenti, il terzo fattore è “qualcosa che un utente è”. Esempi di un terzo fattore sono tutti biometrici come la voce dell’utente, la configurazione della mano, un’impronta digitale, una scansione della retina o simili. La forma più riconosciuta di autenticazione a tre fattori è di solito la scansione della retina.

La cosa importante da notare sulle definizioni di cui sopra è che in nessun punto si parla di usare due password o passphrase, due impronte digitali o due scansioni della retina. Tale uso di due degli stessi fattori è considerato autenticazione a più fattori e non è collegato a nessuna delle definizioni di cui sopra. Quindi quelli di voi che stanno usando due diversi identificatori utente e password non stanno usando l’autenticazione a due fattori, ma l’autenticazione a più fattori. Il PCI DSS è molto specifico nel requisito 8.3 e richiede un’autenticazione a due fattori o migliore. Quindi il multi-fattore non è accettabile.

Un’altra cosa da menzionare è che i puristi della sicurezza sosterranno che usare un biometrico per un secondo fattore viola le regole del terzo fattore. Tuttavia, altri professionisti della sicurezza dicono che qualcosa che un utente ha o è può essere qualcosa come un token o un biometrico. La loro logica è che un utente ha un’impronta digitale o una retina, quindi si qualifica come uno dei due fattori. La chiave è usare un particolare biometrico solo una volta. Quindi se si usa un’impronta digitale per il secondo fattore, non si può usare un’impronta digitale per il terzo fattore.

Infine, anche se ovvio, molte persone non capiscono questo punto. Un fattore è meno sicuro di due fattori che è meno sicuro dell’autenticazione a tre fattori. Tuttavia, se gli utenti costruiscono correttamente le loro password o frasi di accesso e altre restrizioni di accesso sono in atto, l’autenticazione a un fattore può essere abbastanza efficace contro le violazioni della sicurezza, forse nell’intervallo del 90%. L’autenticazione a due fattori in genere aumenta l’efficacia a circa il 97 o 98%. E l’autenticazione a tre fattori probabilmente porta le cose a un livello di efficacia di sei sigma. Si noti che anche con l’autenticazione a tre fattori si arriva solo al 99,9999% di efficacia. Come ho ripetutamente sottolineato, la sicurezza non è perfetta.

Molte persone non si rendono conto del fatto che usano regolarmente l’autenticazione a due fattori. Per utilizzare un bancomat è necessaria una carta (qualcosa che si ha) e un numero di identificazione personale a quattro cifre o PIN (qualcosa che si conosce). Un altro esempio che è comune in questi giorni è per entrare in strutture sicure, un utente autorizzato è tenuto a utilizzare la sua carta di accesso HID e inserire un PIN in una tastiera prima che una porta si apra. Una cosa da notare è che non importa l’ordine in cui i fattori vengono utilizzati. Nel caso degli esempi del bancomat e dell’ingresso, prima si striscia la carta (qualcosa che si ha) e poi si inserisce il PIN (qualcosa che si conosce).

Solo perché il secondo fattore è qualcosa che un utente ha, non significa che l’utente deve sapere di averlo. Un primo esempio è nel caso di un certificato digitale. Molte organizzazioni rilasciano un certificato digitale con il loro software VPN per fornire un’autenticazione a due fattori. La maggior parte degli utenti non sanno che hanno bisogno di un certificato digitale per far funzionare la VPN. Il certificato digitale è solitamente legato all’utente o al computer e viene installato come parte dell’installazione del software VPN. L’unico modo in cui un utente viene a conoscenza del certificato digitale è se viene corrotto o diventa obsoleto, causando un errore quando si cerca di connettersi alla VPN. (NOTA: Nel supplemento informativo sull’autenticazione a più fattori del Consiglio del 2017, l’uso dei certificati digitali come discusso qui non è stato consentito per soddisfare l’autenticazione a due fattori conforme a PCI.)

Un altro punto importante è che nei casi in cui tutto ciò che si utilizza è la carta di accesso HID, si sta utilizzando l’autenticazione a un fattore. Le definizioni dei fattori sono state stabilite per facilitare l’apprendimento e la memoria. Tuttavia, usare uno qualsiasi dei fattori da solo è autenticazione a un fattore. Usando ogni tipo di fattore in combinazione con un altro, si ottiene l’autenticazione a due o tre fattori. Come tale, è possibile utilizzare diverse combinazioni di tutti i fattori per diminuire la probabilità di un compromesso. Per esempio, in molti film di spionaggio, c’è una stanza ultra-sicura dove per entrare, è necessario per esempio una carta d’identità, un PIN, una scansione della retina e devi dire la tua passphrase. Questo non è un esempio di autenticazione a quattro fattori; questa è un’autenticazione a tre fattori con l’uso di due fattori biometrici (cioè, multi-fattore).

Infine, c’è un rischio nell’uso dei fattori biometrici di cui la maggior parte delle persone non ama parlare ma che è importante considerare. Le persone subiscono incidenti di continuo. Le dita vengono tagliate o addirittura rimosse. Le mani vengono rotte o mutilate. Gli occhi vengono danneggiati. La gente perde la voce. Di conseguenza, se state cercando di utilizzare la biometria per l’autenticazione, assicuratevi di pianificare per tali incidenti.

Spero che ora abbiate capito i vari fattori di autenticazione e comprendiate come vengono utilizzati.