MFA Microsoft: l’autenticazione multi-fattore, spiegata semplice

MFA Microsoft: di cosa si tratta?

Microsoft MFA (autenticazione a più fattori) richiede agli utenti di verificare la propria identità con un secondo fattore — app Microsoft Authenticator, SMS, telefonata o chiave hardware FIDO2 — oltre alla password per accedere a Microsoft 365, Azure o applicazioni connesse a Entra ID. Secondo la telemetria Microsoft, l’MFA blocca il 99,9% degli attacchi di compromissione degli account basati su credenziali.

Autenticazione multi-fattore: definizione, funzionamento e vantaggi

Come già accennato, le password possono essere facilmente violate ed esiste una varietà incredibile di minacce che possono compromettere la sicurezza delle proprie infrastrutture digitali: generatori automatici di password, hacking sociale, ransomware che cercano di intrufolarsi o ex dipendenti che abusano delle credenziali della loro precedente azienda.

Questi sono solo alcuni esempi, ma ci sono molti altri casi in cui la sicurezza dei propri dati può risultare fragile.

In parole povere, non si può fare affidamento sulle sole password.

Triste, ma questa è la realtà dei fatti.

Se si utilizzano più dispositivi e non si è sicuri che gli accessi siano legittimi (i propri utenti verificati o fonti sconosciute che tentano di accedere al proprio sito protetto da password da luoghi strani o device non riconosciuti), la sicurezza dei propri dati è molto vulnerabile e vanno prese le adeguate contromisure.

Negli ultimi anni, l’MFA è diventato un metodo di autenticazione piuttosto popolare e, a onor del vero, si sta già utilizzando l’autenticazione a due fattori in molte delle proprie attività quotidiane senza saperlo. Ad esempio, quando si preleva denaro da un bancomat (token hardware: carta di debito + password) o si accede a servizi di banking online (password temporanea + password normale).

Con l’autenticazione a due fattori, anche se qualcuno conoscesse la password, avrebbe comunque bisogno di accedere alle risorse del secondo fattore, come un cellulare, l’email o, nei casi più estremi, persino un’impronta digitale. Quindi, se un hacker volesse rubare i dati di uno dei nostri dipendenti, oltre alla password dovrebbe avere accesso, ad esempio, anche alle impronte digitali di quel dipendente (se è stata selezionata la biometria).

L’MFA aiuta ad accedere in modo sicuro a siti web, carrelli elettronici, backend o qualsiasi applicazione, aggiungendo più livelli per proteggere i dati e le informazioni più importanti e ciò che la rende una misura di sicurezza forte è il fatto che i fattori di autenticazione devono essere una combinazione di due elementi non facilmente duplicabili.

I tre fattori più comuni sono rispettivamente:

• Qualcosa che sai, come password o PIN memorizzati.
• Qualcosa che hai, come uno smartphone o una chiavetta USB.
• Qualcosa che sei , come un’impronta digitale o uno scan facciale.‍ Una combinazione di due fattori rende più difficile per gli attaccanti violare un account, poiché, se una password o un PIN vengono compromessi, sarebbe comunque necessario un codice generato dallo smartphone o un’impronta digitale (che sono più difficili da rubare) per completare l’accesso.

Funzionamento dell’autenticazione multifattorialeL’importanza dell’MFA è stata evidenziata dall’attacco a Twitter nel 2020 e dalla violazione dei dati di Anthem Insurance nel 2015, dove l’MFA avrebbe potuto ridurre significativamente i rischi.

Se non siete ancora convinti vediamo allora, statistiche alla mano, di snocciolare qualche altro numero e comprendere quanto davvero la MFA possa essere un fattore decisivo all’interno delle proprie strategie di cybersecurity:

• Riduzione dei rischi di compromissione degli account: secondo Microsoft, gli utenti che hanno abilitato l’MFA sono riusciti a bloccare circa il 99,9% degli attacchi automatizzati ai loro account. Questa statistica sottolinea l’efficacia dell’MFA nel prevenire i comuni attacchi informatici come il password spraying e il credential stuffing.‍
• Impatto sugli attacchi di phishing: il Verizon Data Breach Investigations Report (DBIR) ha ripetutamente evidenziato che una percentuale significativa delle violazioni coinvolge il phishing. L’MFA, in particolare i metodi che non si basano su messaggi di testo o email (vulnerabili a SIM swapping e intercettazioni), può ridurre drasticamente il tasso di successo di questi attacchi.‍
• Impatto nel settore enterprise: uno studio condotto da Google, NYU e UC San Diego ha rilevato che aggiungere semplicemente un numero di telefono per il recupero (una forma di MFA) a un account ha bloccato il 100% dei bot automatizzati, il 99% degli attacchi di phishing di massa e il 66% degli attacchi mirati.

MFA Microsoft: caratteristiche, livelli di sicurezza e app Authenticator

Microsoft offre nel suo ecosistema funzionalità di MFA che è possibile implementare per prevenire accessi non autorizzati agli account Microsoft (email, SharePoint, Teams Voice, ecc.). L’MFA di base è inclusa in tutti gli abbonamenti Microsoft 365/Office 365, ma rappresenta un’esperienza “tutto o niente” per utente. Quando è abilitata per un account utente, l’MFA richiede un’autenticazione per ogni accesso di quell’utente.

Le organizzazioni che hanno sottoscritto versioni di Microsoft 365 di livello superiore, come Business Premium, hanno accesso a una versione più sofisticata dell’MFA di Microsoft. Il Conditional Access utilizza condizioni per regolare in modo più preciso come viene applicata l’MFA all’interno delle organizzazioni. Ad esempio, è possibile configurare l’autenticazione in modo che gli accessi dall’ufficio vengano verificati ogni 90 giorni, mentre quelli da località remote devono essere verificati ogni 30 giorni.

L’MFA avanzata non è solo più comoda consente anche di applicare politiche MFA più rigorose a comportamenti ad alto rischio. Se qualcuno effettua l’accesso da una nuova o insolita posizione, è possibile richiedere un’autenticazione MFA ogni volta che tenta di accedere. L’MFA avanzata offre un maggiore controllo nel bilanciare comodità e sicurezza.

Microsoft 365 supporta l’autenticazione a più fattori per gli account utilizzando:

• Un codice di verifica inviato come messaggio di testo al telefono dell’utente
• Una chiamata telefonica
• L’app Microsoft Authenticator per smartphone
• Chiavi di sicurezza FIDO2
• Windows Hello for Business
• Autenticazione basata su certificati (CBA)‍ Molti metodi di autenticazione vengono persino combinati.

Combinazione di diversi metodi di autenticazione con MicrosoftPer proteggere al meglio account e risorse importanti, è fondamentale considerare quali metodi di autenticazione siano i più robusti e quali provochino meno frustrazione per gli utenti finali.

Entra ID offre una funzionalità unica chiamata “authentication strength” (livello di autenticazione, disponibile nelle licenze premium Entra ID P1/P2 o equivalenti), che consente agli amministratori di determinare il livello di autenticazione che richiedono agli utenti.

Authentication strength è un controllo di accesso condizionale che permette agli amministratori di stabilire quale combinazione di metodi di autenticazione può essere utilizzata per accedere a un’app o a una risorsa. Questo offre agli amministratori una maggiore flessibilità nell’autenticazione: possono scegliere metodi di autenticazione più forti per le risorse più critiche, o metodi di autenticazione più deboli per applicazioni non sensibili.

Microsoft definisce il livello di autenticazione in tre modi diversi:

1. MFA strength
2. Passwordless MFA strength
3. Phishing-resistant MFA strength ‍A questo proposito, Microsoft raccomanda ufficialmente l’utilizzo dell’MFA phishing-resistant per gli account amministrativi con privilegi elevati.

MFA

Il livello di autenticazione Multi-Factor Authentication (MFA) è il più debole tra i livelli di autenticazione. Tuttavia, offre agli utenti la maggiore libertà nella scelta di come autenticarsi per accedere a una determinata risorsa, poiché supporta la più ampia gamma di opzioni di autenticazione.

Le opzioni di autenticazione supportate sono le seguenti:

• FIDO2 security key
• Windows Hello for Business
• Certificate-based authentication (CBA, MFA)
• Microsoft authenticator app
• Pass di accesso temporaneo
• Password + qualcosa che hai
• Federated single-factor + qualcosa che hai
• Federated multi-factor

Passwordless MFA

L’MFA senza password è il livello intermedio in termini di sicurezza e può essere utilizzato per eliminare l’insicurezza causata dalle password.

Supporta i seguenti metodi di autenticazione:

• FIDO2 security keys
• Windows Hello for Business
• Certificate-based authentication (Multi-factor)
• App Microsoft Authenticator‍ Purtroppo, poiché l’app Authenticator viene spesso utilizzata su uno smartphone, può essere difficile implementare questo metodo di autenticazione se si lavora in un ambiente estremamente sicuro che limita l’uso dei telefoni. Ciò ridurrebbe ulteriormente le opzioni di autenticazione, aprendo la strada al metodo successivo di autenticazione più forte.

Phishing-Resistant MFA Microsoft

Il livello di MFA resistente al phishing è il livello di autenticazione più rigoroso.

Supporta solo i seguenti metodi di autenticazione:

• FIDO2 Security key
• Windows Hello for Business
• Certificate-based authentication (Multi-factor)‍ Gli account che detengono diritti amministrativi ad alto privilegio sono frequentemente presi di mira dagli attacchi, poiché ottenere accesso a un singolo account con diritti amministrativi offre un enorme vantaggio agli attaccanti. Come minimo, raccomandiamo di utilizzare MFA resistente al phishing su questi account per ridurre il rischio di compromissione.

Il Phishing-Resistant MFA è sicuramente il metodo di autenticazione preferito in ambienti ad alto rischio e che necessitano dei più elevati requisiti di sicurezza.

MFA Microsoft Authenticator

Microsoft Authenticator è un’applicazione gratuita sviluppata da Microsoft per fornire una maggiore sicurezza nell’accesso agli account online, in particolare quelli Microsoft, ma anche per altri servizi compatibili. Viene utilizzata principalmente per la verifica in due fattori (2FA), un sistema che aggiunge un secondo livello di protezione oltre alla password.

Il suo funzionamento è estremamente semplice e può essere riassunto nei seguenti passaggi:

1. Verifica in due passaggi (2FA): dopo aver inserito la password, viene richiesto un secondo elemento di autenticazione, solitamente generato dall’app, come un codice temporaneo a sei cifre, che cambia ogni 30 secondi.‍
2. Approva o nega l’accesso: in alternativa ai codici, è possibile ricevere una notifica push sull’app che chiede di approvare o negare l’accesso al proprio account quando qualcuno prova a effettuare il login.‍
3. Autenticazione senza password: Microsoft Authenticator consente anche l’accesso senza password, utilizzando solo l’app per confermare l’identità dell’utente tramite riconoscimento biometrico (impronta digitale o riconoscimento facciale) o PIN.‍
4. Compatibilità multi-account: è possibile utilizzare Microsoft Authenticator per gestire non solo il proprio account Microsoft, ma anche account di altre piattaforme che supportano l’autenticazione a due fattori, come Google, Facebook, Amazon e altre.

Microsoft MFA Setup: come attivare l’autenticazione multi-fattore?

Ora che abbiamo più chiara l’autenticazione multi-fattore e le specifiche funzionalità dell’MFA Microsoft, è arrivato il momento di passare alla pratica e vedere com’è possibile abilitare l’MFA per gli account Microsoft aziendali.

Ci sono tre modi principali per abilitare le funzionalità di MFA in Microsoft 365; daremo quindi uno sguardo approfondito a tutti e tre, evidenziando i passaggi necessari da seguire per una corretta implementazione.

1. Security Defaults

Con i criteri di sicurezza predefiniti, vengono fornite alla propria organizzazione impostazioni di sicurezza preconfigurate gestite da Microsoft per aiutare a proteggere l’organizzazione da attacchi legati all’identità. Parte di queste impostazioni prevede l’abilitazione automatica dell’autenticazione a più fattori (MFA) per tutti gli account amministrativi e utente.

Per attivare i criteri di sicurezza predefiniti basterà seguire i seguenti passaggi, cominciando con l’accedere al Microsoft 365 Admin Center con credenziali di Security Administrator, Conditional Access Administrator o Global Admin.

Dopodiché, basterà dirigersi al portale di Azure Active Directory (ora Entra ID) sotto la sezione Admin Centers.

Una volta nella pagina di Azure AD, dovremo scegliere Manage dal menu a sinistra della dashboard e selezionare Properties. In quella pagina, vedremo Manage Security Defaults nella parte inferiore della pagina.

Se si vede selezionato Yes nella voce Enable Security Defaults (situata sul lato destro del pannello), non è necessaria alcuna azione aggiuntiva. Altrimenti, basterà selezionare Yes per abilitare i criteri di sicurezza predefiniti. Da precisare che Security Defaults e Conditional Access sono due funzionalità mutualmente esclusive; pertanto, per utilizzare il secondo sarà necessario disattivare il primo.

2. Conditional Access

Con le politiche di Accesso Condizionale, è possibile creare politiche granulari o specifiche per le organizzazioni con requisiti di sicurezza più complessi. Queste politiche determinano se l’accesso verrà concesso o meno agli utenti in base alle condizioni specificate sotto le quali vengono valutati gli accessi.

Questo semplifica il lavoro degli amministratori, poiché è possibile assegnare requisiti di autenticazione a più fattori (MFA) in base all’appartenenza a un gruppo, invece di configurare l’MFA per singoli account utente.

Per abilitare l’MFA con le politiche di Accesso Condizionale, è prima necessario creare una politica di accesso condizionale e aggiungerla ai gruppi specificati.

Con le credenziali di amministratore globale, accediamo al portale di Azure e scegliamo Entra ID. Successivamente, nel menu a sinistra, scegli Security > Conditional Access > +New policy. Crea un nome per la policy.

Vai su Assignments > Users and groups, quindi seleziona il pulsante di opzione Select users and groups.

Spunta la casella per Users and groups e fai clic su Select per vedere gli utenti e i gruppi disponibili in Azure AD.

Scegli il tuo gruppo di Azure AD e seleziona Done per applicare la nuova politica.

Successivamente, dobbiamo configurare le condizioni per l’autenticazione a più fattori quando un utente accede al portale di Azure per definire quali app cloud e azioni attiveranno la nuova politica.

In App o azioni cloud, si può scegliere di applicare la propria politica a All Apps o Select Apps (se vuoi escludere alcune app dalla policy).

In questo caso, poiché stiamo configurando l’MFA per gli accessi a Azure, scegliamo Select Apps, selezioniamo Microsoft Azure Management > Select > Done.

Sotto Access Controls, scegli Grant e seleziona il pulsante di opzione Grant Access.

Seleziona la casella per Require multi-factor authentication > Select.

Attiva la politica impostando l’opzione Enable policy su On, quindi seleziona Create per applicare la politica di Accesso Condizionale.

3. Legacy Per-User MFA

Sebbene Microsoft raccomandi fortemente di utilizzare solo i criteri di sicurezza predefiniti o le politiche di accesso condizionale, è comunque possibile abilitare l’autenticazione a più fattori (MFA) per singolo utente.

Tuttavia, c’è da tenere presente che ciò risulterebbe più scomodo sia per l’amministratore (poiché dovrà configurare le impostazioni per ogni singolo utente) sia per gli utenti (poiché dovranno eseguire l’MFA ogni volta che effettuano l’accesso, a meno che non provengano da un indirizzo IP attendibile o la funzionalità “ricorda MFA sui dispositivi attendibili” sia attiva). In più Microsoft sconsiglia fortemente l’uso di questa modalità di autenticazione se si possono utilizzare Conditional Access o Security Defaults.

Ci sono tre stati da conoscere per verificare se un utente è registrato per l’autenticazione a più fattori di Azure AD o meno:

• Disabled: tutti gli utenti iniziano in questo stato. Ciò significa che non sono ancora registrati per l’MFA.‍
• Enabled: gli utenti sono iscritti all’MFA, ma devono registrare i metodi di autenticazione MFA affinché l’MFA sia abilitato. Se non si registrano, l’autenticazione legacy, in cui vengono ancora utilizzate le password, rimane un’opzione per gli accessi.‍
• Enforced: gli utenti sono iscritti all’MFA e hanno già completato la registrazione. L’MFA è richiesto quando effettuano l’accesso.‍ Per modificare lo stato di un utente accedi al portale di Azure con credenziali di amministratore globale. In Entra ID, vai su Users > All Users. Clicca su multi-factor authentication.

Troviamo l’utente per cui desideriamo abilitare l’MFA (si può cambiare la visualizzazione in alto su Users) e spuntiamo la casella accanto al nome.

Nel pannello a destra, sotto Quick Steps, scegliamo Enable o Disable, quindi confermiamo la selezione nella finestra pop-up che si apre.

Gli amministratori possono spostare gli utenti tra gli stati, ad esempio da Enabled a Enforced o da Enforced a Disabled. Tuttavia, non è consigliato cambiare direttamente lo stato di un utente a Enforced a meno che non sia già registrato.

Conclusioni

I pericoli per i dati aziendali sono all’ordine del giorno e alcuni degli scenari peggiori coinvolgono proprio credenziali e metodi d’accesso obsoleti che possono metterne a repentaglio la sicurezza.

Pertanto, è necessario, quando ci si affida a soluzioni di sicurezza come quelle Microsoft, conoscere a fondo tutte le opzioni disponibili al fine di costruire il miglior perimetro difensivo possibile anche attorno a quello che può diventare indiscutibilmente l’anello più debole della propria catena difensiva: il singolo utente.

Opzioni che, come abbiamo potuto vedere, sono estremamente varie e adatte a ogni livello di sicurezza, al fine di garantire ad amministratori ed esperti di sicurezza il maggiore grado di controllo e severità sugli accessi degli utenti ai propri sistemi, senza per questo sacrificare la semplicità di adozione per questi ultimi.

FAQ sull’autenticazione multifattoriale in Microsoft

Cos’è l’autenticazione multi-fattore (MFA) di Microsoft?L’autenticazione multi-fattore di Microsoft è una misura di sicurezza che aggiunge un secondo livello di verifica oltre alla classica password. Questo significa che anche se qualcuno conosce le credenziali di accesso, non potrà accedere senza dimostrare di possedere anche un secondo elemento, come un codice temporaneo generato su un’app o un’impronta digitale. È un sistema che rende gli account molto più difficili da violare.

Quali sono i benefici dell’utilizzo della MFA?L’utilizzo dell’MFA protegge gli account da una vasta gamma di minacce informatiche, tra cui phishing e attacchi automatizzati. Secondo Microsoft, l’attivazione dell’MFA riduce quasi totalmente il rischio di accesso non autorizzato agli account, anche in caso di furto delle credenziali. È una protezione particolarmente utile in ambienti aziendali dove i dati sensibili devono essere salvaguardati con il massimo livello di sicurezza.

Come si attiva l’MFA su Microsoft 365?L’MFA può essere attivata tramite impostazioni di sicurezza predefinite, criteri di accesso condizionale o configurazioni per singolo utente. Le prime due opzioni sono quelle raccomandate da Microsoft, perché consentono un controllo più semplice e centralizzato, mentre la configurazione manuale per ogni utente è considerata meno efficiente e più complessa da gestire, oltre a essere limitata in termini di flessibilità.

Cos’è Microsoft Authenticator e come funziona?Microsoft Authenticator è un’app mobile che permette di proteggere gli account richiedendo una verifica tramite smartphone ogni volta che si accede. Dopo aver inserito la password, l’app può generare un codice temporaneo o inviare una notifica push all’utente, che dovrà approvare o negare l’accesso. In alternativa, l’app consente anche di accedere senza inserire la password, usando solo il riconoscimento facciale, l’impronta digitale o un PIN.

Quali metodi di autenticazione MFA supporta Microsoft?Microsoft supporta diversi metodi per autenticarsi, tra cui i codici ricevuti via SMS o telefonata, le notifiche dell’app Authenticator, dispositivi fisici come chiavi FIDO2, soluzioni biometriche come Windows Hello for Business e certificati digitali. Alcuni metodi possono essere combinati per aumentare ulteriormente il livello di sicurezza, adattandosi alle esigenze specifiche di ogni organizzazione.

Cos’è il livello di autenticazione “Phishing-Resistant”?Il livello di autenticazione “Phishing-Resistant” è il più sicuro tra quelli offerti da Microsoft. Utilizza metodi che non dipendono da password o codici facilmente intercettabili, ma da strumenti fisici o certificati che non possono essere copiati o rubati facilmente. È pensato soprattutto per proteggere account amministrativi e sistemi critici, dove il rischio di attacco è elevato.

Qual è la differenza tra MFA, Passwordless MFA e Phishing-Resistant MFA?La principale differenza tra questi tre livelli sta nel grado di sicurezza e nella tipologia di metodi di autenticazione accettati. L’MFA tradizionale è il livello più accessibile, ma anche il meno resistente ad attacchi sofisticati. La Passwordless MFA elimina completamente le password, aumentando la sicurezza. Il livello Phishing-Resistant è il più avanzato e limita l’uso a metodi particolarmente robusti e difficili da aggirare.

Quando sarà obbligatoria la MFA per gli amministratori?A partire dal 15 ottobre 2024, tutti gli amministratori che accedono al portale di Azure, al centro di amministrazione di Entra o a Intune dovranno obbligatoriamente utilizzare l’MFA. Nei mesi successivi, il requisito sarà esteso anche ad altri strumenti come Azure CLI, PowerShell e le app mobili. Si tratta di una misura che punta a rafforzare in modo significativo la sicurezza degli accessi ad ambienti critici.

Perché Microsoft sconsiglia l’uso della Legacy Per-User MFA?Questo approccio viene sconsigliato perché è meno pratico per l’amministratore, che deve configurare manualmente ogni singolo utente, ed è più rigido per l’utente, che si trova a dover effettuare la verifica ad ogni accesso senza la possibilità di condizioni personalizzate. Inoltre, non offre i benefici e la flessibilità delle alternative più moderne, come i criteri di sicurezza predefiniti o le politiche di accesso condizionale.