Che cos'è l'autenticazione?
Scopri come le identità di persone, app e servizi sono verificate prima di ricevere l'accesso a sistemi e risorse digitali.
Autenticazione definita
L'autenticazione è il processo che le aziende utilizzano per confermare che solo le persone, i servizi e le app con le autorizzazioni corrette possano accedere alle risorse dell'organizzazione. È una parte importante della cybersecurity perché la priorità di un attore malevolo è ottenere un accesso non autorizzato ai sistemi. E lo fanno rubando nome utente e password degli utenti che hanno accesso. Il processo di autenticazione include tre passaggi principali:
- Identificazione: in genere gli utenti stabiliscono chi sono tramite un nome utente.
- Autenticazione: solitamente, gli utenti dimostrano chi dicono di essere inserendo una password (che solo l'utente dovrebbe conoscere), ma per rafforzare la sicurezza molte organizzazioni richiedono anche di dimostrare la loro identità con qualcosa che hanno (un telefono o un dispositivo token) oppure con qualcosa che sono (impronta digitale o scansione del viso).
- Autorizzazione: il sistema verifica che gli utenti hanno le autorizzazioni per accedere al sistema in cui stanno cercando di entrare.
Perché l'autenticazione è importante?
L'autenticazione è importante perché aiuta le organizzazioni a proteggere i loro sistemi, dati, reti, siti web e applicazioni dagli attacchi. Aiuta anche a mantenere la confidenzialità dei propri dati personali, consentendo di svolgere il loro business, come servizi bancari o di investimento online, con meno rischi. Se i processi di autenticazione sono deboli, per un attore malevolo è facile compromettere un account, provando a indovinare le password o ingannando le persone e facendosi consegnare le loro credenziali. I rischi connessi sono:
- Violazione o l'esfiltrazione dei dati.
- Installazione di malware, come un ransomware.
- Non conformità con i regolamenti regionali o di settore in materia di protezione dei dati.
Come funziona l'autenticazione
Per le persone, l'autenticazione significa impostare un nome utente, una password e altri metodi di autenticazione, come la scansione del viso, delle impronte di digitali o un PIN. Per proteggere le identità, nessuno di questi metodi di autenticazione vengono salvati nel database del servizio. Le password soggette a hashing (non crittografate) e gli hash vengono salvati nel database. Quando un utente inserisce una password, anche questa è soggetta a hashing, quindi gli hash vengono confrontati. Se i due hash corrispondono, viene fornito l'accesso. Per quanto riguarda le impronte digitali e le scansioni del viso, le informazioni vengono codificate, crittografate e salvate nel dispositivo.
Tipi di metodi di autenticazione
Nell'autenticazione moderna, il processo di autenticazione viene delegato a un sistema di identificazione sicuro e distinto, diversamente dalle autenticazioni tradizionali in cui ciascun sistema verifica le identità. C'è stato un cambiamento nel tipo di metodo di autenticazione utilizzato. La maggior parte delle applicazioni richiede un nome utente e una password, ma gli attori malevoli sono diventati più abili nel furto di password e le community di sicurezza hanno sviluppato nuovi metodi per aiutare a proteggere le identità.
Autenticazione basata su password
L'autenticazione basata su password è la forma più comune di autenticazione. Molte app e servizi richiedono agli utenti di creare password composte da una combinazione di numeri, lettere e simboli per ridurre il rischio che un attore malevolo possa indovinarle. Tuttavia, le password hanno creato anche delle difficoltà in termini di sicurezza e utilizzabilità. Per gli utenti non è facile inventare e memorizzare una password unica per ciascun loro account online, ecco perché spesso riutilizzano le stesse password. E gli autori dei cyberattacchi utilizzano delle tattiche per indovinare o rubare le password, oppure per indurre gli utenti a comunicargliele senza esserne consapevoli. Le organizzazioni stanno quindi passando dal metodo delle password ad altre forme più sicure di autenticazione.
Autenticazione basata su certificato
L'autenticazione basata su certificato è un metodo di crittografia che consente a dispositivi e utenti di identificarsi presso altri dispositivi e sistemi. Due classici esempi sono l'uso di una scheda o quando il dispositivo di un dipendente invia un certificato digitale a una rete o server.
Autenticazione biometrica
Nell'autenticazione biometrica, gli utenti provano la loro identità utilizzando dati biometrici. Ad esempio, molte persone utilizzano le loro dita per accedere ai telefono e alcuni computer possono scansionare il viso di una persona o la retina per verificare l'identità. I dati biometrici sono anche collegati a un dispositivo specifico per impedire agli utenti malevoli di accedere al dispositivo non essendone in possesso. Questo tipo di autenticazione è sempre più diffuso perché le persone non devono memorizzare nulla e risulta più sicuro delle password perché per gli attori malevoli è difficile ottenere il necessario per accedere.
Autenticazione basata su token
In un'autenticazione basata su token, sia un device che il sistema generano un nuovo numero unico chiamato time-based one-time PIN (TOTP) ogni 30 secondi. Se i numeri corrispondono, il sistema verifica che l'utente possiede il dispositivo.
One-time password
Le one-time password (OTP) sono codici generati per uno specifico evento di accesso che scade poco dopo essere stati forniti. Vengono inviati tramite SMS, e-mail o hardware token.
Notifiche push
Alcune app e servizi utilizzano notifiche push per autenticare gli utenti. In questi casi, gli utenti ricevono un messaggio sul proprio telefono che gli chiede di approvare o negare la richiesta di accesso. Dato che a volte le persone approvano accidentalmente le notifiche push anche se non stanno cercando di accedere ai servizi per i quali è stata inviata la notifica, questo metodo è talvolta utilizzato in combinazione con un metodo OTP. Il sistema OTP genera un numero unico che l'utente deve immettere, rendendo l'autenticazione più resistente al phishing.
Autenticazione vocale
Nell'autenticazione vocale, la persona che prova ad accedere al servizio riceve una chiamata telefonica nella quale viene richiesto di immettere un codice o di identificarsi verbalmente.
Autenticazione a più fattori
Uno dei modi migliori per bloccare la compromissione degli account è quello di richiedere due o più metodi di autenticazione tra quelli elencati sopra. Una buona prassi efficace è richiedere due dei seguenti metodi:
- Qualcosa che l'utente conosce, in genere una password.
- Qualcosa che possiede, come un dispositivo attendibile non facilmente duplicabile, come uno smartphone o un hardware token.
- Qualcosa che l'utente è, come un'impronta digitale o una scansione viso.
Ad esempio, molte organizzazioni chiedono una password (qualcosa che l'utente sa) e invia anche un OTP tramite SMS a un dispositivo sicuro (qualcosa che l'utente ha) prima di consentire l'accesso.
Autenticazione a due fattori
L'autenticazione a due fattori è un tipo di autenticazione a più fattori che richiede due forme di autenticazione.
Nonostante l'autenticazione, a volte indicata come AuthN, e l'autorizzazione, a volte indicata come AuthZ, sono spesso termini usati in modo intercambiabili, fanno riferimento a due cose distinte. L'autenticazione conferma che l'utente che accedere è chi dice di essere, mentre l'autorizzazione conferma che hanno i permessi per accedere alle informazioni che desiderano. Ad esempio, un dipendente delle risorse umane potrebbe avere accesso a sistemi che contengono informazioni sensibili, come buste paga e file relativi ai dipendenti, che altri non possono visualizzare. Tanto l'autenticazione quanto l'autorizzazione sono fondamentali per la produttività e per proteggere dati sensibili, proprietà intellettuale e privacy.
Best practice per la sicurezza dell'autenticazione
La compromissione degli account è un metodo molto comune per gli utenti malevoli di ottenere accesso non autorizzato alle risorse di un'azienda ed è quindi importante configurare una sicurezza solida dell'autenticazione. Ecco alcune cose che puoi fare per proteggere la tua organizzazione:
-
Implementare l'autenticazione a più fattori
La cosa più importante che puoi fare per ridurre il rischio di compromissione dell'account è attivare l'autenticazione a più fattori con almeno due fattori. Per gli attori malevoli è molto più difficile rubare più di un metodo di autenticazione , in particolare se uno di questi è un dato biometrico o se è qualcosa che l'utente possiede, come un dispositivo. Per semplificare l'accesso il più possibile per i dipendenti, i clienti e i partner, permettigli di scegliere tra diversi fattori di autenticazione. È importante osservare che non tutti i metodi di autenticazione sono uguali. Alcuni sono più sicuri di altri. Ad esempio, se ricevere un SMS è meglio di nulla, una notifica push risulta più sicura.
-
Senza password
Una volta importata l'autenticazione a più fattori, puoi anche scegliere di limitare l'uso delle password e incoraggiare le persone a usare due o più metodi di autenticazione, come un PIN e dati biometrici. Ridurre l'uso di password e eliminare le password semplifica la procedura di accesso e riduce il rischio di compromissione degli account.
-
Applica la protezione password
Oltre a formare i dipendenti, ci sono altri strumenti che puoi usare per ridurre l'uso di password facili da indovinare. Le soluzioni di protezione delle password ti consentono di vietare password comuni come Password1. Puoi anche creare un elenco personalizzato specifico per la tua azienda o regione, come nomi di squadre sportive o di località.
-
Abilita l'autenticazione a più fattori basata sui rischi
Alcuni eventi di autenticazione sono indicatori di compromissione, come quando un dipendente prova ad accedere alla tua rete da un nuovo dispositivo o da una posizione strana. Altri eventi di accesso, seppur non atipici, potrebbero avere un rischio maggiore, ad esempio quando un professionista delle risorse umane deve accedere a informazioni personali identificabili dei dipendenti. Per ridurre il rischio, configurare la soluzione di gestione delle identità e degli accessi (IAM) per richiedere almeno due fattori di autenticazione quando individua questi tipi di eventi.
-
Dai priorità alla praticità
Affinché la sicurezza sia efficace, deve essere adeguatamente implementata da dipendenti e stakeolder. I criteri di sicurezza possono talvolta impedire alle persone di eseguire attività rischiose online, ma se i criteri sono troppo laboriosi, le persone troveranno il modo di aggirarli. Le soluzioni migliori tengono conto dei comportamenti effettivi delle persone. Distribuisci funzionalità come il ripristino della password self-service per eliminare la necessità di chiamare l'helpdesk quando la dimenticano. Questo potrebbe anche incoraggiarli a scegliere password più sicure perché sanno che potranno ripristinarla facilmente e poi dimenticarla. Consentire alle persone di scegliere il metodo di autenticazione che preferiscono è un ottimo modo per semplificare il loro accesso.
-
Distribuisci l'accesso Single Sign-On
Un'ottima funzionalità che migliora la praticità e la sicurezza è l'accesso Single Sign-On (SSO). A nessuno piace dover inserire una password ogni volta che cambiano app, una pratica che potrebbe incoraggiare l'uso della stessa password in diversi account per risparmiare tempo. Con l'accesso Single Sign-On, i dipendenti devono accedere solo una volta per accedere alla maggior parte delle applicazioni di cui hanno bisogno per lavorare. Questo riduce la resistenza delle persone e consente di applicare criteri di sicurezza universali o condizionali, come l'autenticazione a più fattori, a tutti i software utilizzati dai dipendenti.
-
Utilizza il principio dei privilegi minimi
Limita il numero degli account con privilegi basato sul ruolo e concedi i privilegi minimi necessari per svolgere il lavoro. Impostare il controllo degli accessi aiuta a garantire che meno persone possano accedere ai tuoi dati e sistemi più critici. Se qualcuno non necessita di eseguire attività sensibili, utilizza la gestione degli accessi privilegiati, come l'attivazione just-in-time a tempo, per ridurre ulteriormente i rischi. Anche richiedere che le attività amministrative vengano eseguite solo su dispositivi molto sicuri, diversi dai computer usati per le attività quotidiane, aiuta a proteggere dati e sistemi.
-
Ipotizza violazioni e conduci regolarmente audit
In molte organizzazioni, i ruoli delle persone e lo status dei dipendenti cambiano regolarmente. I dipendenti possono lasciare l'azienda o cambiare ufficio. I partner entrano ed escono dai progetti. Tutto questo può rappresentare un problema quando le regole di accesso non tengono il passo. È importante assicurare che le persone non mantengano l'accesso ai sistemi e ai file se non ne hanno più bisogno per svolgere il proprio lavoro. Per ridurre il rischio che un attore malevolo ottenga informazioni sensibili, utilizza una soluzione di governance delle identità per aiutarti a regolare costantemente i tuoi account e i tuoi ruoli. Questi strumenti aiutano anche a garantire che l'accesso sia concesso solo quando è necessario e che gli account delle persone che lasciano l'organizzazione non siano più attivi.
-
Proteggi le identità dalle minacce
Le soluzioni di gestione delle identità e degli accessi offrono molti strumenti per aiutarti a ridurre il rischio di compromissione degli account, ma è comunque consigliato anticipare le possibili violazioni. Anche i dipendenti ben formati qualche volta cadono vittima di phishing. Per individuare tempestivamente la compromissione degli account, investi nelle soluzioni di protezione dalle minacce alle identità e implementa criteri che aiutano a scovare e rispondere alle attività sospette. Molte soluzioni moderne, come Microsoft Copilot per la sicurezza, utilizzano l'IA non solo per individuare le minace ma anche per rispondervi automaticamente.
Soluzioni di autenticazione cloud
L'autenticazione è fondamentale sia per un programma di cybersecurity solida che per migliorare la produttività dei dipendenti. Una soluzione di gestione delle identità e degli accessi completa, come Microsoft Entra, ti offre gli strumenti per aiutare le persone a ottenere ciò di cui hanno bisogno per svolgere il loro lavoro, applicando potenti controlli che riducono il rischio che attori malevoli compromettano un account e ottengano l'accesso a dati sensibili.
Scopri di più su Microsoft Security
Microsoft Entra ID
Proteggi la tua organizzazione con la gestione delle identità e degli accessi (in precedenza Azure Active Directory).
Microsoft Entra ID Governance
Garantisce automaticamente che le persone giuste abbiano accesso alle app giuste al momento giusto.
Gestione delle autorizzazioni di Microsoft Entra
Ottieni una soluziona unificata per gestire le autorizzazioni di qualsiasi identità in tutta la tua infrastruttura multicloud.
ID verificato di Microsoft Entra
Decentralizza le tue identità con un servizio di credenziali verificabili gestite in base a standard aperti.
ID dei carichi di lavoro di Microsoft Entra
Gestisci e proteggi le identità garantite ad app e servizi.
Domande frequenti
-
Esistono diversi tipi di autenticazione. Ecco alcuni esempi:
- Molte persone accedono ai loro telefoni con il riconoscimento facciale o l'impronta digitale.
- Le banche e altri servizi spesso richiedono alle persone di accedere utilizzando una password e un codice inviato automaticamente tramite SMS.
- Alcuni account richiedono solo un nome utente e una password, anche se molte organizzazioni stanno passando all'autenticazione a più fattori per migliorare la sicurezza.
- I dipendenti spesso accedono ai loro computer e ottengono l'accesso a diverse app contemporaneamente, metodo noto come accesso Single Sign-On.
- Ci sono inoltre account che consentono agli utenti di accedere usando gli account Facebook o Google. In questo caso, Facebook, Google o Microsoft sono responsabili dell'autenticazione degli utenti e di passare l'autorizzazione al servizio a cui gli utenti vogliono accedere.
-
L'autenticazione cloud è un servizio che conferma che solo le persone e le app giuste con i permessi giusti possano accedere alle reti e alle risorse cloud. Molte applicazioni cloud hanno sistemi di autenticazione integrati basate sul cloud, ma ci sono anche soluzioni più ampie, come Azure Active Directory, progettate per gestire l'autenticazione su più app e servizi cloud. Queste soluzioni in genere utilizzano il protocollo SAML per abilitare servizi di autenticazione per lavorare su più account.
-
Nonostante l'autenticazione e l'autorizzazione sono spesso termini usati in modo intercambiabili, fanno riferimento a due cose distinte. L'autenticazione conferma che l'utente che accedere è chi dice di essere, mentre l'autorizzazione conferma che hanno i permessi per accedere alle informazioni che desiderano. Usati insieme, l'autenticazione e l'autorizzazione aiutano a ridurre il rischio che un attore malevolo acceda a dati sensibili.
-
L'autenticazione viene utilizzata per verificare che le persone e le entità siano chi dicono di essere prima di concedergli l'accesso a risorse e reti digitali. Nonostante l'obiettivo principale sia la sicurezza, le soluzioni di autenticazione moderne sono anche progettate per aumentare la praticità. Ad esempio, molte organizzazioni implementano soluzioni di accesso Single Sign-On per aiutare i dipendenti a trovare più facilmente quello di cui hanno bisogno per svolgere il proprio lavoro. I servizi per privati spesso consentono di accedere usando il proprio account Facebook, Google o Microsoft per velocizzare le procedure di autenticazione.
Segui Microsoft Security