Eravamo abituati a gestire nome utente e password. Poi ci hanno detto che per la sicurezza questo non basta, bisogna aggiungere anche il codice MFA. Questo si riceve via SMS o da un’app che genera codici.
Il problema è che se entriamo spesso in determinati account dobbiamo far fronte a un’esperienza utente odiosa. Bisogna continuare a generare codici secondari, riceverli via SMS o email, scriverli nella casellina e ricordarsi di cancellare i vecchi messaggi.
Questo potrebbe essere richiesto più volte, soprattutto se cambiamo dispositivo di navigazione. Magari passando dal Mac, all’iPhone, poi all’iPad e di nuovo al Mac. Continuiamo a mettere email, password e generare codici monouso. Un eccesso di sicurezza di cui i malintenzionati potrebbero approfittare.
È stato coniato, infatti, il termine di MFA Fatigue ed è un vero e proprio attacco. Ma in cosa consiste?
In questo articolo:
Cos’è l’MFA Fatigue?
L’MFA Fatigue, noto anche come bombardamento MFA o spamming MFA, è una strategia di attacco hacker che sfrutta l’ingegneria sociale. Gli hacker inviano ripetutamente richieste di autenticazione a due fattori alla vittima, con l’obiettivo di indurla a confermare la propria identità, autenticando così il tentativo dell’attaccante di entrare nel suo account o dispositivo.
Questo tipo di attacco può essere particolarmente fastidioso e disorientante per l’utente, poiché riceve una serie ininterrotta di richieste di autenticazione. Nel tentativo di fermare l’infinito flusso di notifiche, l’utente potrebbe finire per approvare una di queste richieste, dando così agli hacker l’accesso che cercano.
Come funziona l’attacco MFA Fatigue?
Per innescare le notifiche push MFA, un attaccante deve prima effettuare l’accesso come l’utente target. Di conseguenza, gli attacchi MFA Fatigue sono spesso preceduti da altri vettori di attacco di ingegneria sociale, come il phishing, per ottenere le credenziali.
Le credenziali rubate possono anche essere acquisite dal dark web e attraverso molti altri vettori di attacco. Il sistema di notifiche push è supportato dalla maggior parte delle moderne piattaforme MFA. Dopo aver inviato il loro primo set di credenziali, noto come autenticazione del primo fattore, l’utente riceve una notifica push che gli chiede di confermare la sua autenticazione del secondo fattore, ad esempio attraverso il possesso fisico e il controllo del suo dispositivo mobile.
L’aumento degli attacchi MFA Fatigue è dovuto alla diffusione di questa architettura di autenticazione semplificata. Ad esempio, nell’attacco hacker di settembre 2022 a Uber da parte di Lapsus$, un gruppo di hacker noto per i loro attacchi di ingegneria sociale, è stato utilizzato un attacco MFA Fatigue.
Questi attacchi spesso portano al deposito di un software ransomware, che prende in ostaggio le risorse aziendali o i dati sensibili in cambio di un riscatto.
Come si difendono gli utenti dall’MFA Fatigue?
Esistono diverse strategie che gli utenti possono adottare per difendersi dagli attacchi MFA Fatigue. Una di queste è limitare il numero di richieste di autenticazione MFA per utente. Quando questi limiti vengono superati, gli account vengono bloccati o vengono inviati avvisi all’amministratore del dominio.
Inoltre, gli esperti di sicurezza raccomandano di disabilitare le notifiche push MFA e, se ciò non è possibile, di abilitare il match numerico per aumentare la sicurezza. Questa funzione mostra all’utente una serie di numeri durante il tentativo di accesso, che devono poi essere inseriti nell’applicazione di autenticazione del proprietario dell’account sul suo dispositivo mobile.
Infine, è importante che gli utenti mantengano un atteggiamento di vigilanza. Se un utente riceve un’ondata di notifiche push MFA, non dovrebbe cedere al panico, approvare la richiesta MFA o parlare con persone sconosciute che si presentano come parte della sua organizzazione.
Invece, dovrebbe contattare gli amministratori IT conosciuti della sua azienda, il suo reparto IT o i suoi superiori e spiegare che crede che il suo account sia stato compromesso e sia sotto attacco.
Passkey: una soluzione all’MFA Fatigue?
Passkey è un nuovo strumento di sicurezza sviluppato da Apple e dalla Fido Alliance, che potrebbe essere la soluzione all’MFA Fatigue. Questo sistema elimina la necessità di utilizzare password, rendendo gli attacchi MFA Fatigue molto meno efficaci.
Passkey è un sistema di autenticazione privo di password. Quando un utente si iscrive a un sito web, non deve più fornire un’email e una password. Può al massimo indicare un’email o un nome. La password non serve più.
Il processo crea automaticamente una stringa di codice ad ogni iscrizione e la salva cifrata nel dispositivo. Pertanto, il server del servizio che richiede l’autenticazione non ottiene informazioni sulla password, ma semplicemente la risposta positiva dal SSO (Single Sign-On).
Come si protegge Passkey dagli attacchi hacker?
Passkey protegge gli utenti da attacchi hacker come l’MFA Fatigue in vari modi. Innanzitutto, sincronizza in modo sicuro i nostri accessi su tutti i nostri dispositivi collegati a iCloud, attraverso la comunicazione end-to-end dei dati e decifrandoli solo una volta caricati sul dispositivo tramite il chip Secure Enclave.
In secondo luogo, Passkey blocca attivamente qualsiasi tentativo di phishing. Poiché non esiste una password, i siti di phishing non possono convincere gli utenti a inserire la loro password. Se gli hacker rubano il database di un sito, non potranno mai ottenere le password degli utenti perché queste non esistono.
Come si implementa Passkey?
Per implementare Passkey, gli sviluppatori devono integrare le API dedicate nelle loro app e nei loro siti. Apple ha già fornito la documentazione necessaria per farlo.
Da quando Passkey è stato introdotto, è diventato sempre più popolare tra gli utenti e gli sviluppatori. Nel prossimo futuro, potremmo abituarci a non creare una password per ogni servizio. Anche i servizi di gestione delle password di terze parti, come 1Password, si sono uniti alla FIDO Alliance per aiutare a creare un mondo senza password.
In conclusione
In un mondo digitale in continua evoluzione, l’MFA Fatigue rappresenta una sfida crescente per la sicurezza informatica.
Fortunatamente ci sono soluzioni come Passkey che offrono un nuovo approccio senza password che potrebbe rivoluzionare il modo in cui affrontiamo le minacce cibernetiche.
È essenziale che gli utenti adottino pratiche di sicurezza consapevoli e implementino le strategie raccomandate per mitigare l’MFA Fatigue. Sia limitando il numero di richieste MFA che disabilitando le notifiche push, o abbracciando tecnologie come Passkey.
Con il continuo impegno degli sviluppatori e la collaborazione tra industria e utenti, possiamo affrontare l’MFA Fatigue e creare un ambiente online più sicuro per tutti.