Il termine Autenticazione si riferisce al processo di identificazione dell'identità di un utente per determinare se l'utente è autentico o meno. L'Autenticazione multi-fattore (MFA) è un'aggiunta al processo di verifica in due passaggi. Questo rende piuttosto difficile per gli attaccanti violare l'ID di qualcuno. Anche se l'hacker o l'attaccante conosce l'ID utente e la password, questi sono inutili senza un metodo di autenticazione aggiuntivo. Si tratta di una funzionalità di sicurezza affidabile che può garantire una protezione solida dei propri account. In questo articolo esploreremo le opzioni di MFA disponibili per i prodotti dell’ecosistema Microsoft andando a vedere più da vicino cosa e quali sono, quali sono i vantaggi e come attivare l’autenticazione multi-fattore con qualche esempio pratico.
Le violazioni della sicurezza sono molto comuni al giorno d'oggi: phishing, ransomware e tutta una serie di altri nomi familiari molto poco graditi agli esperti di Cybersecurity. Sono purtroppo finiti i tempi in cui un semplice nome utente/password era sufficiente per la sicurezza dei dati e affidarsi esclusivamente alle password per proteggere i propri dati è come scrivere lettere fisiche nell'era delle email: molto romantico ma ingenuo e poco pratico.
I dati, come ben sappiamo, sono ormai cruciali come il proprio capitale e sono tanto preziosi quanto molto vulnerabili agli attacchi esterni. Ecco perché si ha bisogno di qualcosa di più delle sole password per proteggere i propri sistemi informatici da minacce e agenti malevoli.
L'Autenticazione Multi-Fattore, comunemente chiamata MFA, è un metodo di verifica a più passaggi che richiede più di un metodo di autenticazione. Gli strati extra di sicurezza vengono aggiunti alle proprie interazioni online (registrazioni e transazioni), aiutando a mantenere il proprio account il più al sicuro possibile da queste spiacevoli eventualità.
Microsoft offre all’interno dei suoi ecosistemi software la possibilità di implementare l’autenticazione multifattoriale per prevenire accessi non autorizzati agli account Microsoft.
L'MFA di base è inclusa in tutti gli abbonamenti Microsoft 365/Office 365 e, quando abilitata per un account utente, viene richiesta per ogni autenticazione di quell'utente. Oltre all’MFA di base sono disponibili anche altri due approcci: Conditional Access (che richiede licenze premium come Microsoft 365 Business Premium o Entra ID P1/P2) e Legacy Per-User MFA (che è sconsigliato da Microsoft, più informazioni nella sezione dedicata).
A partire dal 15 ottobre 2024, Microsoft richiederà che tutti gli amministratori utilizzino l'Autenticazione Multi-Fattore (MFA) quando accedono al portale di Azure, al centro di amministrazione di Microsoft Entra e al centro di amministrazione di Intune. Questo requisito si estende a tutti i servizi accessibili tramite il portale Azure, i centri di amministrazione di Entra e Intune, come Windows 365 Cloud PC.
Questa modifica è parte di un'implementazione graduale, che vede interessati nella Fase 1 (da ottobre 2024) i portali di amministrazione, mentre nella Fase 2 (inizio 2025) l'MFA sarà necessaria anche per CLI Azure, PowerShell, app mobile Azure e strumenti IaC.
La mossa di Microsoft rappresenta un passo cruciale per rafforzare la sicurezza IT riducendo il rischio di accessi non autorizzati agli account amministrativi ed è allo stesso tempo un ottimo momento per discutere un po’ più nel dettaglio i benefici della MFA per la sicurezza dei propri dati e come implementare questa funzionalità ormai imprescindibile all’interno di qualsiasi strategia di cybersecurity moderna.
Come già accennato, le password possono essere facilmente violate ed esiste una varietà incredibile di minacce che possono compromettere la sicurezza delle proprie infrastrutture digitali: generatori automatici di password, hacking sociale, ransomware che cercano di intrufolarsi o ex dipendenti che abusano delle credenziali della loro precedente azienda.
Questi sono solo alcuni esempi, ma ci sono molti altri casi in cui la sicurezza dei propri dati può risultare fragile.
In parole povere, non si può fare affidamento sulle sole password.
Triste, ma questa è la realtà dei fatti.
Se si utilizzano più dispositivi e non si è sicuri che gli accessi siano legittimi (i propri utenti verificati o fonti sconosciute che tentano di accedere al proprio sito protetto da password da luoghi strani o device non riconosciuti), la sicurezza dei propri dati è molto vulnerabile e vanno prese le adeguate contromisure.
Negli ultimi anni, l'MFA è diventato un metodo di autenticazione piuttosto popolare e, a onor del vero, si sta già utilizzando l'autenticazione a due fattori in molte delle proprie attività quotidiane senza saperlo. Ad esempio, quando si preleva denaro da un bancomat (token hardware: carta di debito + password) o si accede a servizi di banking online (password temporanea + password normale).
Con l'autenticazione a due fattori, anche se qualcuno conoscesse la password, avrebbe comunque bisogno di accedere alle risorse del secondo fattore, come un cellulare, l'email o, nei casi più estremi, persino un'impronta digitale. Quindi, se un hacker volesse rubare i dati di uno dei nostri dipendenti, oltre alla password dovrebbe avere accesso, ad esempio, anche alle impronte digitali di quel dipendente (se è stata selezionata la biometria).
L'MFA aiuta ad accedere in modo sicuro a siti web, carrelli elettronici, backend o qualsiasi applicazione, aggiungendo più livelli per proteggere i dati e le informazioni più importanti e ciò che la rende una misura di sicurezza forte è il fatto che i fattori di autenticazione devono essere una combinazione di due elementi non facilmente duplicabili.
I tre fattori più comuni sono rispettivamente:
Una combinazione di due fattori rende più difficile per gli attaccanti violare un account, poiché, se una password o un PIN vengono compromessi, sarebbe comunque necessario un codice generato dallo smartphone o un'impronta digitale (che sono più difficili da rubare) per completare l'accesso.
L'importanza dell'MFA è stata evidenziata dall'attacco a Twitter nel 2020 e dalla violazione dei dati di Anthem Insurance nel 2015, dove l'MFA avrebbe potuto ridurre significativamente i rischi.
Se non siete ancora convinti vediamo allora, statistiche alla mano, di snocciolare qualche altro numero e comprendere quanto davvero la MFA possa essere un fattore decisivo all’interno delle proprie strategie di cybersecurity:
Per implementare correttamente i processi aziendali all'interno dell'ecosistema Microsoft 365, è necessario un team con competenze trasversali:
Dev4Side Software ha le competenze tecniche verticali per fornirti un unico punto di contatto, trasversale per tutti gli elementi della tua sottoscrizione.
Microsoft offre nel suo ecosistema funzionalità di MFA che è possibile implementare per prevenire accessi non autorizzati agli account Microsoft (email, SharePoint, Teams Voice, ecc.). L'MFA di base è inclusa in tutti gli abbonamenti Microsoft 365/Office 365, ma rappresenta un'esperienza "tutto o niente" per utente. Quando è abilitata per un account utente, l'MFA richiede un'autenticazione per ogni accesso di quell'utente.
Le organizzazioni che hanno sottoscritto versioni di Microsoft 365 di livello superiore, come Business Premium, hanno accesso a una versione più sofisticata dell'MFA di Microsoft. Il Conditional Access utilizza condizioni per regolare in modo più preciso come viene applicata l'MFA all'interno delle organizzazioni. Ad esempio, è possibile configurare l'autenticazione in modo che gli accessi dall'ufficio vengano verificati ogni 90 giorni, mentre quelli da località remote devono essere verificati ogni 30 giorni.
L'MFA avanzata non è solo più comoda consente anche di applicare politiche MFA più rigorose a comportamenti ad alto rischio. Se qualcuno effettua l'accesso da una nuova o insolita posizione, è possibile richiedere un'autenticazione MFA ogni volta che tenta di accedere. L'MFA avanzata offre un maggiore controllo nel bilanciare comodità e sicurezza.
Microsoft 365 supporta l'autenticazione a più fattori per gli account utilizzando:
Molti metodi di autenticazione vengono persino combinati.
Per proteggere al meglio account e risorse importanti, è fondamentale considerare quali metodi di autenticazione siano i più robusti e quali provochino meno frustrazione per gli utenti finali.
Entra ID offre una funzionalità unica chiamata "authentication strength" (livello di autenticazione, disponibile nelle licenze premium Entra ID P1/P2 o equivalenti), che consente agli amministratori di determinare il livello di autenticazione che richiedono agli utenti.
Authentication strength è un controllo di accesso condizionale che permette agli amministratori di stabilire quale combinazione di metodi di autenticazione può essere utilizzata per accedere a un'app o a una risorsa. Questo offre agli amministratori una maggiore flessibilità nell'autenticazione: possono scegliere metodi di autenticazione più forti per le risorse più critiche, o metodi di autenticazione più deboli per applicazioni non sensibili.
Microsoft definisce il livello di autenticazione in tre modi diversi:
A questo proposito, Microsoft raccomanda ufficialmente l’utilizzo dell’MFA phishing-resistant per gli account amministrativi con privilegi elevati.
Il livello di autenticazione Multi-Factor Authentication (MFA) è il più debole tra i livelli di autenticazione. Tuttavia, offre agli utenti la maggiore libertà nella scelta di come autenticarsi per accedere a una determinata risorsa, poiché supporta la più ampia gamma di opzioni di autenticazione.
Le opzioni di autenticazione supportate sono le seguenti:
L'MFA senza password è il livello intermedio in termini di sicurezza e può essere utilizzato per eliminare l'insicurezza causata dalle password.
Supporta i seguenti metodi di autenticazione:
Purtroppo, poiché l'app Authenticator viene spesso utilizzata su uno smartphone, può essere difficile implementare questo metodo di autenticazione se si lavora in un ambiente estremamente sicuro che limita l'uso dei telefoni. Ciò ridurrebbe ulteriormente le opzioni di autenticazione, aprendo la strada al metodo successivo di autenticazione più forte.
Il livello di MFA resistente al phishing è il livello di autenticazione più rigoroso.
Supporta solo i seguenti metodi di autenticazione:
Gli account che detengono diritti amministrativi ad alto privilegio sono frequentemente presi di mira dagli attacchi, poiché ottenere accesso a un singolo account con diritti amministrativi offre un enorme vantaggio agli attaccanti. Come minimo, raccomandiamo di utilizzare MFA resistente al phishing su questi account per ridurre il rischio di compromissione.
Il Phishing-Resistant MFA è sicuramente il metodo di autenticazione preferito in ambienti ad alto rischio e che necessitano dei più elevati requisiti di sicurezza.
Microsoft Authenticator è un'applicazione gratuita sviluppata da Microsoft per fornire una maggiore sicurezza nell'accesso agli account online, in particolare quelli Microsoft, ma anche per altri servizi compatibili. Viene utilizzata principalmente per la verifica in due fattori (2FA), un sistema che aggiunge un secondo livello di protezione oltre alla password.
Il suo funzionamento è estremamente semplice e può essere riassunto nei seguenti passaggi:
Ora che abbiamo più chiara l’autenticazione multi-fattore e le specifiche funzionalità dell’MFA Microsoft, è arrivato il momento di passare alla pratica e vedere com’è possibile abilitare l’MFA per gli account Microsoft aziendali.
Ci sono tre modi principali per abilitare le funzionalità di MFA in Microsoft 365; daremo quindi uno sguardo approfondito a tutti e tre, evidenziando i passaggi necessari da seguire per una corretta implementazione.
Con i criteri di sicurezza predefiniti, vengono fornite alla propria organizzazione impostazioni di sicurezza preconfigurate gestite da Microsoft per aiutare a proteggere l'organizzazione da attacchi legati all'identità. Parte di queste impostazioni prevede l'abilitazione automatica dell'autenticazione a più fattori (MFA) per tutti gli account amministrativi e utente.
Per attivare i criteri di sicurezza predefiniti basterà seguire i seguenti passaggi, cominciando con l’accedere al Microsoft 365 Admin Center con credenziali di Security Administrator, Conditional Access Administrator o Global Admin.
Dopodiché, basterà dirigersi al portale di Azure Active Directory (ora Entra ID) sotto la sezione Admin Centers.
Una volta nella pagina di Azure AD, dovremo scegliere Manage dal menu a sinistra della dashboard e selezionare Properties. In quella pagina, vedremo Manage Security Defaults nella parte inferiore della pagina.
Se si vede selezionato Yes nella voce Enable Security Defaults (situata sul lato destro del pannello), non è necessaria alcuna azione aggiuntiva. Altrimenti, basterà selezionare Yes per abilitare i criteri di sicurezza predefiniti. Da precisare che Security Defaults e Conditional Access sono due funzionalità mutualmente esclusive; pertanto, per utilizzare il secondo sarà necessario disattivare il primo.
Con le politiche di Accesso Condizionale, è possibile creare politiche granulari o specifiche per le organizzazioni con requisiti di sicurezza più complessi. Queste politiche determinano se l'accesso verrà concesso o meno agli utenti in base alle condizioni specificate sotto le quali vengono valutati gli accessi.
Questo semplifica il lavoro degli amministratori, poiché è possibile assegnare requisiti di autenticazione a più fattori (MFA) in base all'appartenenza a un gruppo, invece di configurare l'MFA per singoli account utente.
Per abilitare l'MFA con le politiche di Accesso Condizionale, è prima necessario creare una politica di accesso condizionale e aggiungerla ai gruppi specificati.
Con le credenziali di amministratore globale, accediamo al portale di Azure e scegliamo Entra ID. Successivamente, nel menu a sinistra, scegli Security > Conditional Access > +New policy. Crea un nome per la policy.
Vai su Assignments > Users and groups, quindi seleziona il pulsante di opzione Select users and groups.
Spunta la casella per Users and groups e fai clic su Select per vedere gli utenti e i gruppi disponibili in Azure AD.
Scegli il tuo gruppo di Azure AD e seleziona Done per applicare la nuova politica.
Successivamente, dobbiamo configurare le condizioni per l'autenticazione a più fattori quando un utente accede al portale di Azure per definire quali app cloud e azioni attiveranno la nuova politica.
In App o azioni cloud, si può scegliere di applicare la propria politica a All Apps o Select Apps (se vuoi escludere alcune app dalla policy).
In questo caso, poiché stiamo configurando l'MFA per gli accessi a Azure, scegliamo Select Apps, selezioniamo Microsoft Azure Management > Select > Done.
Sotto Access Controls, scegli Grant e seleziona il pulsante di opzione Grant Access.
Seleziona la casella per Require multi-factor authentication > Select.
Attiva la politica impostando l'opzione Enable policy su On, quindi seleziona Create per applicare la politica di Accesso Condizionale.
Sebbene Microsoft raccomandi fortemente di utilizzare solo i criteri di sicurezza predefiniti o le politiche di accesso condizionale, è comunque possibile abilitare l'autenticazione a più fattori (MFA) per singolo utente.
Tuttavia, c’è da tenere presente che ciò risulterebbe più scomodo sia per l’amministratore (poiché dovrà configurare le impostazioni per ogni singolo utente) sia per gli utenti (poiché dovranno eseguire l'MFA ogni volta che effettuano l'accesso, a meno che non provengano da un indirizzo IP attendibile o la funzionalità "ricorda MFA sui dispositivi attendibili" sia attiva). In più Microsoft sconsiglia fortemente l’uso di questa modalità di autenticazione se si possono utilizzare Conditional Access o Security Defaults.
Ci sono tre stati da conoscere per verificare se un utente è registrato per l'autenticazione a più fattori di Azure AD o meno:
Per modificare lo stato di un utente accedi al portale di Azure con credenziali di amministratore globale. In Entra ID, vai su Users > All Users. Clicca su multi-factor authentication.
Troviamo l'utente per cui desideriamo abilitare l'MFA (si può cambiare la visualizzazione in alto su Users) e spuntiamo la casella accanto al nome.
Nel pannello a destra, sotto Quick Steps, scegliamo Enable o Disable, quindi confermiamo la selezione nella finestra pop-up che si apre.
Gli amministratori possono spostare gli utenti tra gli stati, ad esempio da Enabled a Enforced o da Enforced a Disabled. Tuttavia, non è consigliato cambiare direttamente lo stato di un utente a Enforced a meno che non sia già registrato.
I pericoli per i dati aziendali sono all’ordine del giorno e alcuni degli scenari peggiori coinvolgono proprio credenziali e metodi d’accesso obsoleti che possono metterne a repentaglio la sicurezza.
Pertanto, è necessario, quando ci si affida a soluzioni di sicurezza come quelle Microsoft, conoscere a fondo tutte le opzioni disponibili al fine di costruire il miglior perimetro difensivo possibile anche attorno a quello che può diventare indiscutibilmente l’anello più debole della propria catena difensiva: il singolo utente.
Opzioni che, come abbiamo potuto vedere, sono estremamente varie e adatte a ogni livello di sicurezza, al fine di garantire ad amministratori ed esperti di sicurezza il maggiore grado di controllo e severità sugli accessi degli utenti ai propri sistemi, senza per questo sacrificare la semplicità di adozione per questi ultimi.
L’autenticazione multi-fattore di Microsoft è una misura di sicurezza che aggiunge un secondo livello di verifica oltre alla classica password. Questo significa che anche se qualcuno conosce le credenziali di accesso, non potrà accedere senza dimostrare di possedere anche un secondo elemento, come un codice temporaneo generato su un'app o un’impronta digitale. È un sistema che rende gli account molto più difficili da violare.
L’utilizzo dell’MFA protegge gli account da una vasta gamma di minacce informatiche, tra cui phishing e attacchi automatizzati. Secondo Microsoft, l’attivazione dell’MFA riduce quasi totalmente il rischio di accesso non autorizzato agli account, anche in caso di furto delle credenziali. È una protezione particolarmente utile in ambienti aziendali dove i dati sensibili devono essere salvaguardati con il massimo livello di sicurezza.
L’MFA può essere attivata tramite impostazioni di sicurezza predefinite, criteri di accesso condizionale o configurazioni per singolo utente. Le prime due opzioni sono quelle raccomandate da Microsoft, perché consentono un controllo più semplice e centralizzato, mentre la configurazione manuale per ogni utente è considerata meno efficiente e più complessa da gestire, oltre a essere limitata in termini di flessibilità.
Microsoft Authenticator è un’app mobile che permette di proteggere gli account richiedendo una verifica tramite smartphone ogni volta che si accede. Dopo aver inserito la password, l’app può generare un codice temporaneo o inviare una notifica push all’utente, che dovrà approvare o negare l’accesso. In alternativa, l’app consente anche di accedere senza inserire la password, usando solo il riconoscimento facciale, l’impronta digitale o un PIN.
Microsoft supporta diversi metodi per autenticarsi, tra cui i codici ricevuti via SMS o telefonata, le notifiche dell’app Authenticator, dispositivi fisici come chiavi FIDO2, soluzioni biometriche come Windows Hello for Business e certificati digitali. Alcuni metodi possono essere combinati per aumentare ulteriormente il livello di sicurezza, adattandosi alle esigenze specifiche di ogni organizzazione.
Il livello di autenticazione “Phishing-Resistant” è il più sicuro tra quelli offerti da Microsoft. Utilizza metodi che non dipendono da password o codici facilmente intercettabili, ma da strumenti fisici o certificati che non possono essere copiati o rubati facilmente. È pensato soprattutto per proteggere account amministrativi e sistemi critici, dove il rischio di attacco è elevato.
La principale differenza tra questi tre livelli sta nel grado di sicurezza e nella tipologia di metodi di autenticazione accettati. L’MFA tradizionale è il livello più accessibile, ma anche il meno resistente ad attacchi sofisticati. La Passwordless MFA elimina completamente le password, aumentando la sicurezza. Il livello Phishing-Resistant è il più avanzato e limita l’uso a metodi particolarmente robusti e difficili da aggirare.
A partire dal 15 ottobre 2024, tutti gli amministratori che accedono al portale di Azure, al centro di amministrazione di Entra o a Intune dovranno obbligatoriamente utilizzare l’MFA. Nei mesi successivi, il requisito sarà esteso anche ad altri strumenti come Azure CLI, PowerShell e le app mobili. Si tratta di una misura che punta a rafforzare in modo significativo la sicurezza degli accessi ad ambienti critici.
Questo approccio viene sconsigliato perché è meno pratico per l’amministratore, che deve configurare manualmente ogni singolo utente, ed è più rigido per l’utente, che si trova a dover effettuare la verifica ad ogni accesso senza la possibilità di condizioni personalizzate. Inoltre, non offre i benefici e la flessibilità delle alternative più moderne, come i criteri di sicurezza predefiniti o le politiche di accesso condizionale.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).
