Semplificare l’autenticazione: perchè Azure AD MFA

L’autenticazione basata su Azure AD MFA è ad oggi una best practice imprescindibile per proteggere gli account. Aggiungendo un secondo fattore oltre alla password, la sicurezza dell’accesso aumenta in modo esponenziale. Come afferma Microsoft, attivare la MFA può bloccare oltre il 99,9% degli attacchi di compromissione dell’account. Questa statistica impressionante è spesso riassunta così: “Your password doesn’t matter, MFA does”.

Perché Azure AD MFA è così efficace?

Perché un attaccante, anche se riesce a ottenere o indovinare la password, per violare l’account dovrà superare una seconda barriera. Ad esempio, supponiamo che tramite phishing un criminale scopra le credenziali di Mario Rossi. Se l’account di Mario NON ha la MFA, l’attaccante può entrare immediatamente utilizzando l’account Mario e fare ciò che vuole. Ma se l’account È protetto da MFA, dopo aver inserito user e password, il sistema chiederà – poniamo – un codice temporaneo generato dall’app Authenticator sul telefono di Mario. L’hacker ovviamente non ha accesso al telefono di Mario, quindi rimane bloccato fuori, pur conoscendo la password. Analogamente, di fronte a fattori come impronta digitale o chiave di sicurezza hardware, il malintenzionato non può passare: dovrebbe fisicamente clonare l’impronta o rubare il dispositivo di Mario, operazioni estremamente più difficili e rischiose rispetto a carpire una password con l’inganno.

In breve, la MFA spezza il meccanismo “una password e sei dentro” su cui si basano il 99% dei furti di account.

Vantaggi e impatto sulla sicurezza

Con MFA attiva, minacce come phishing e credential stuffing perdono mordente. Un set di credenziali rubate (username+password) diventa insufficiente per l’attaccante. Microsoft ha osservato nei propri servizi cloud che gli account con MFA subiscono praticamente zero violazioni rispetto ai milioni di attacchi quotidiani su quelli senza MFA. Certo, la MFA non è invulnerabile: esistono attacchi di phishing avanzato che cercano di intercettare anche il secondo fattore (ad esempio, tecniche man-in-the-middle che ripropongono in tempo reale il prompt MFA, o attacchi di “MFA fatigue” dove si bombarda l’utente di richieste push sperando in un suo errore). Inoltre gli SMS come fattore possono essere intercettati tramite SIM swap. Tuttavia, questi attacchi sono decisamente più complessi e rari rispetto a quelli basati sulle sole password. Per un’azienda tipica, abilitare la MFA stronca la stragrande maggioranza dei tentativi di intrusione opportunistici. Non a caso, molte normative e standard di sicurezza oggi raccomandano o impongono l’uso della MFA per accessi sensibili; l’abilitazione di metodologie di MFA “forti” (es. chiavetta Fido2 o Authenticator) rafforza ulteriormente il concetto.

Esempi di fattori MFA comuni

• Codici OTP (One-Time Password): stringhe numeriche di 6-8 cifre generate da algoritmi temporizzati (di solito cambiano ogni 30 secondi). Possono essere recapitate via SMS o email, oppure generate in locale da app come Microsoft Authenticator, ecc.
• Notifiche push dell’app: l’app Authenticator sul telefono riceve una notifica che l’utente deve approvare (tocca “Approva” o “Consenti”) per completare il login. In scenari più sicuri, la notifica indica un codice o una posizione da confermare (number matching o informazioni sull’accesso) in modo da evitare approvazioni accidentali. Questo metodo è molto user-friendly: niente da trascrivere, basta un tap.
• Token fisici o chiavi di sicurezza: dispositivi hardware dedicati alla generazione o memorizzazione di credenziali OTP. Ci sono i tradizionali token display (che mostrano un codice che cambia ogni X secondi, simile alle app OTP ma fisico) e le moderne chiavi USB/NFC FIDO2 (come YubiKey, Feitian). Queste ultime implementano standard avanzati: l’utente le inserisce quando richiesto e preme un pulsante, la chiave effettua una verifica crittografica e comunica al servizio remoto che l’utente è presente. Molte chiavi supportano anche dati biometrici (impronta sul token stesso). Sono fattori di possesso molto robusti e resistenti al phishing (funzionano solo con i siti legit, non con cloni).
• Biometria (impronta, riconoscimento facciale, ecc.): Tecnicamente, in un flusso MFA la biometria da sola è spesso usata come sblocco di un dispositivo o app (quindi combinata col possesso). Ad esempio Windows Hello richiede l’impronta e che tu abbia fisicamente il PC aziendale; l’impronta da sola non viene trasmessa, serve solo a sbloccare la chiave privata sul PC. In altri casi la biometria può essere un secondo fattore stand-alone – ad esempio alcune banche inviano una notifica push che chiede anche l’impronta per essere confermata. I fattori biometrici sono considerati di inerenza (“qualcosa che sei”).
• Email di conferma o Q.R. Code: Oltre ai codici, alcuni servizi inviano un link di conferma via email: cliccandolo si dimostra di avere accesso anche a quella casella email, e ciò vale come secondo fattore. Non è il metodo più sicuro (perché se l’email fosse già compromessa, cade il castello) ma aggiunge comunque un passaggio extra. I Q.R. code sono invece a volte usati per loggarsi su un dispositivo secondario: esempio, sul PC appare un QR da inquadrare con l’app mobile già autenticata, così da verificare che chi sta accedendo al PC è la stessa persona loggata sul telefono.

In un’implementazione ottimale, la MFA fa parte del flusso quotidiano senza troppo disturbo. La user experience con MFA infatti può essere fluida: in Microsoft Entra ID, ad esempio, se un utente accede da un dispositivo aziendale registrato e in un contesto considerato affidabile, potrebbe non dover fare MFA ogni volta perché la sessione resta valida e c’è il SSO attivo. Oppure, la MFA viene richiesta una volta e “ricordata” per 14 giorni su quel dispositivo. Inoltre, metodi come le notifiche push o Windows Hello rendono la MFA quasi trasparente: confermare un login con l’impronta o col telefono richiede pochissimi secondi.

Comunicare agli utenti

Un punto importante per l’adozione in azienda è comunicare bene agli utenti il valore della MFA: spiegare che quell’unico passaggio in più li protegge da conseguenze ben peggiori (furto dati, attacchi al loro account). Spesso, quando i dipendenti capiscono che l’azienda sta implementando la MFA per difenderli, e non per complicare la loro vita, la accettazione migliora di molto. Fortunatamente, oggi molti hanno già familiarità con l’MFA per servizi bancari o personali, quindi c’è meno resistenza di qualche anno fa.

Azure AD MFA

Microsoft offre la MFA come servizio integrato in Entra ID, chiamata appunto Entra ID MFA (o storicamente Azure AD MFA). Le aziende che utilizzano Microsoft 365 o Azure possono abilitarla per i propri utenti senza costi aggiuntivi significativi, configurando metodi quali:

• L’app Microsoft Authenticator per notifiche push o codici (metodo raccomandato da Microsoft),
• gli SMS/telefonate (metodi meno sicuri, ma disponibili per compatibilità),
• chiavi di sicurezza FIDO2 (da Windows Hello alle chiavi USB esterne),
• codici OATH da token/app di terze parti.

Attraverso il portale di Entra ID, un amministratore può decidere come la MFA viene applicata: ad esempio usando le Conditional Access policy per richiederla solo in condizioni particolari (es. utente fuori rete aziendale, oppure accesso a dati sensibili). Questo è molto importante perché consente di modulare l’impatto sulla user-experience: ad esempio, in ufficio su PC aziendali la MFA non viene chiesta, ma se lo stesso utente prova da un dispositivo personale e magari da casa, scatta la richiesta di MFA.

Entra ID MFA include anche funzionalità anti-frode: ad esempio numero di conferma nelle notifiche push (l’app ti chiede di digitare un numero mostrato a schermo, così sei sicuro di approvare il login giusto e non quello di un attaccante a caso) e possibilità per l’utente di segnalare se riceve richieste inattese.

Microsoft ha inoltre abilitato Security Defaults, una configurazione out-of-the-box per i tenant Azure AD nuovi che impone la MFA a tutti gli utenti con app Authenticator, proprio per alzare automaticamente la sicurezza.

Insomma, Microsoft sta cercando di fare in modo che Azure AD MFA diventi lo standard e non l’eccezione: nel 2020 dichiaravano che meno del 20% dei tenant Azure AD avevano la MFA abilitata, un numero troppo basso; da qui l’introduzione di meccanismi per migliorarne l’adozione.

Anche lato end-user, l’azienda può configurare il Self-Service Password Reset con MFA: se un utente dimentica la password, può resettarla da solo, ma per farlo deve confermare la propria identità con un codice sul cellulare. Questo scarica lavoro dall’help desk e sfrutta la MFA per una procedura sicura di recovery.

In definitiva, abilitare l’MFA è probabilmente la singola misura di sicurezza più efficace che un reparto IT possa prendere a breve termine.

Il messaggio quindi è chiaro: attivate la MFA ovunque potete. L’esperienza utente può essere semplificata (specialmente con app come Microsoft Authenticator e tramite Conditional Access), mentre la sicurezza salirà di livello.

Come ha sintetizzato un esperto, “abilitare la MFA è come mettere un secondo chiavistello a tutte le porte: i ladri di solito mollano il colpo e cercano un’altra casa”. E nessuno vuole essere “l’altra casa” rimasta con la porta aperta.

Best practice per l’implementazione di Azure AD MFA

• Rendi la MFA la norma per tutti gli utenti: In un contesto enterprise, l’obiettivo è arrivare ad avere MFA attiva su 100% degli account aziendali. Può essere necessario un roll-out graduale (per gestire il change management), ma non lasciare falle: anche account “minori” o di utenti standard possono essere porte di accesso per attaccanti. Inizia dai ruoli amministrativi e privilegiati – su quelli la MFA andrebbe applicata immediatamente, preferibilmente con fattori robusti come chiavi hardware – poi estendi a dirigenti (spesso bersagliati in attacchi mirati) e infine a tutta la popolazione aziendale. Comunica chiaramente le scadenze: ad es. “entro il prossimo mese tutti dovranno registrare almeno un metodo MFA, chi non lo fa verrà bloccato finché non contatta il reparto IT”. Con Microsoft Entra ID, utilizza Azure AD Conditional Access per richiedere MFA agli utenti in base a gruppo/ruolo. E non dimenticare gli account dei partner/guest se accedono a risorse critiche – Azure AD B2B ti consente di rendere necessario l’utilizzo di MFA anche per loro.
• Scegli metodi MFA ricercando il corretto equilibrio tra sicurezza e usabilità: Non tutti i secondi fattori sono uguali in comodità e sicurezza. Evita se possibile di usare SMS come soluzione MFA primaria, perché gli SMS possono essere intercettati (attacco SIM swap). Gli SMS vanno bene magari come fallback, ma oramai esistono alternative migliori: l’app Authenticator è una di queste (più sicura e user-friendly). Le chiavi FIDO2 sono eccellenti per sicurezza (phishing-proof), però richiedono distribuzione di hardware e hanno un costo unitario; potresti adottarle per utenti ad alto rischio (es. admin, finance) e proporle gradualmente agli altri come opzione volontaria o in sostituzione degli OTP. Biometria: se la tua azienda ha un parco Windows 10/11 recente, abilita Windows Hello – molti laptop hanno fotocamera IR o lettore d’impronte, e permettono pertanto di abilitare MFA senza particolari sforzi (es: Hello + PIN e stai a posto). In generale, dai preferenza a metodi push o biometrici perché richiedono meno passaggi manuali e sono meno soggetti ad errori.
• Comunica, forma e supporta gli utenti: Introdurre l’autenticazione multifattore può generare resistenze iniziali. È cruciale fare una campagna di comunicazione e adoption della soluzione: spiega prima del rollout cos’è la MFA, perché l’azienda la implementa (“per proteggere te e i dati aziendali”), come funziona in pratica e che benefici porta. Fornisci guide passo-passo (con screenshot) per registrare i metodi – soprattutto per l’app Authenticator che molti magari non hanno mai usato. Organizza se possibile brevi sessioni Q&A o un webinar dimostrativo. Assicurati che il Service Desk sia preparato a rispondere alle domande comuni (“Posso usare il mio telefono personale?”, “E se non ho campo per l’SMS?”, “Funziona anche all’estero?” ecc.). Durante i primi giorni/settimane dal go-live, monitora attivamente se alcuni utenti incontrano difficoltà: ad esempio, utenti senza smartphone dovranno usare metodi alternativi come chiamata su fisso; utenti che non hanno capito dovranno essere contattati proattivamente. Una buona esperienza iniziale farà sì che l’MFA venga accolta come normale procedura, non come un fardello. Col tempo, diventerà parte della cultura aziendale (come timbrare il cartellino).
• Implementa Single Sign-On per ridurre le richieste MFA ripetute: Come già detto, l’SSO è il miglior amico dell’MFA. Se l’utente fa login + MFA al mattino grazie ad Entra ID e poi accede a tutto senza nuovi prompt, percepisce un solo step MFA. Senza SSO, se ogni applicazione separata chiedesse MFA, l’utente la riterrebbe invadente. Quindi integra le app con Entra ID (tramite SAML/OIDC o Proxy se sono on-prem) così da centralizzare l’autenticazione. Inoltre, sfrutta le opzioni di “ricorda dispositivo”: ad es. puoi impostare che l’MFA non venga richiesta di nuovo sullo stesso device/browser per 90 giorni, a meno di rischi. Ciò significa che su PC aziendale fisso l’utente farà MFA raramente, mentre su un nuovo device sconosciuto verrà comunque protetto. Questa comodità condizionale migliora l’UX senza sacrificare la sicurezza.
• Prevedi più di un metodo MFA registrato per utente (e procedure di backup): La regola è: “uno è poco, due è meglio”. Fai in modo che ogni utente registri almeno due metodi di MFA (es. l’app sullo smartphone e magari un numero di telefono alternativo, oppure app + chiave hardware). Entra ID consente di forzare la registrazione di X metodi per SSPR/MFA. Così se perdono l’accesso a uno, hanno l’altro. E definisci bene il processo di “account recovery”. Documenta questo flusso e comunica in modo chiaro. Con doppi metodi e policy di backup, la tua implementazione MFA sarà resiliente e non verrà percepita come rischiosa (“oddio se perdo il cell non entro più!”).
• Monitora l’utilizzo e affina la strategia MFA nel tempo: Usa i report di Entra ID per vedere le metriche: quanti utenti completano l’autenticazione correttamente, quanti fallback a SMS, quanti login vengono bloccati perché non utilizzano l’autenticazione multifattore, quanti alert di risk, ecc. Se noti che, ad esempio, molti utenti ignorano l’app e scelgono SMS, puoi fare formazione in più o decidere di disabilitare gli SMS incentivando l’app (che è preferibile). Insomma, tratta l’autenticazione multifattore come un processo da ottimizzare continuamente: le minacce evolvono (gli attaccanti provano continuamente nuovi modi per bypassare MFA.

Per concludere

L’autenticazione multifattore è una misura di difesa fondamentale che ogni organizzazione dovrebbe implementare. Richiedere un secondo fattore (qualcosa che hai o sei) oltre alla password, neutralizza la maggior parte degli attacchi alle credenziali. Abbiamo visto come abilitare l’autenticazione multifattore possa prevenire 99.9% degli attacchi di account compromise.

Grazie all’autenticazione multifattore, rubare o indovinare una password non basta più. Ed è possibile integrarla in modo relativamente user-friendly, mantenendo una user-experience ottimale ed elevando la security posture in modo significativo.

Zero trust vuol dire MFA per tutti gli utenti, punto.

Per leggere gli altri articoli della serie:

Yooda | Blog | Entra ID passwordless: semplificare e rafforzare l’autenticazione

Yooda | Blog | Microsoft Entra ID, MFA e Passwordless: sicurezza delle password

Contattaci per una consulenza gratuita

Siamo al tuo fianco per supportarti al meglio nell’efficientamento della tua azienda; ascoltando le tue richieste possiamo sviluppare integrazioni e workflow atti a migliorare i tuoi processi di business e la tua user-experience. Ti offriamo una consulenza gratuita di 30 minuti, in cui potrai esporre le tue esigenze e i tuoi obiettivi. Basta compilare questa form per essere contattato: https://forms.office.com/e/7r53YsD3U6