Thales banner

Soluzioni 2FA (Autenticazione a due fattori)

Panoramica

I metodi di autenticazione a due fattori si basano su svariate tecnologie, soprattutto OTP e PKI (infrastruttura a chiave pubblica). Che differenza c’è e quale dovresti utilizzare per la tua organizzazione?

OTP (One-Time Password)

Le OTP (One-Time Password) sono una forma di autenticazione “simmetrica”, che prevede la generazione simultanea di una password valida una sola volta in due luoghi: nel server di autenticazione e sul token hardware o software in possesso dell’utente. Se l’OTP generata dal token corrisponde a quella del server, l’autenticazione va a buon fine e l’utente può accedere.

Autenticazione PKI

L’autenticazione PKI è una forma di autenticazione “asimmetrica” poiché si basa su una coppia di chiavi crittografiche dissimili: una chiave privata e una pubblica. I token PKI hardware basati su certificati, come le smart card e i token USB, sono concepiti per archiviare la chiave crittografica privata e segreta in modo sicuro. Durante l’autenticazione al server di rete aziendale, ad esempio, il server emette una “sfida” numerica, che viene firmata utilizzando la chiave crittografica privata. Se esiste una correlazione matematica tra la sfida firmata e la chiave pubblica (nota al server di rete), l’autenticazione va a buon fine e l’utente può accedere alla rete (si tratta di una semplificazione. Per ulteriori dettagli, guarda i video The Science of Secrecy di Simon Singh).

Single Sign-On

SSO + MFA + Gestione degli accessi

Tutto in un'unica piattaforma

qual è il metodo migliore di autenticazione avanzata?

Non esiste un metodo di autenticazione adatto a tutti. Di seguito riportiamo diverse considerazioni da tenere a mente quando si sceglie il metodo o i metodi più adatti alla tua organizzazione:

Livello adeguato di sicurezza

Mentre l'autenticazione OTP, ad esempio con le app OTP, può fornire una protezione sufficiente per la maggior parte dei casi d’uso aziendali, i settori verticali che richiedono livelli di garanzia più elevati, come i governi e il settore sanitario, possono essere obbligati per legge a utilizzare la protezione con PKI.

Obblighi normativi e standard di settore

Nell’autenticazione PKI viene utilizzata una chiave crittografica privata non trasferibile se archiviata in un token hardware. Poiché è asimmetrica, la PKI è usata in molte parti del mondo per casi d’uso che richiedono livelli di garanzia più elevati. Tuttavia, anche la sicurezza delle OTP è sempre più riconosciuta in svariati settori, come ad esempio dalle organizzazioni sanitarie statunitensi, e soddisfa i requisiti della DEA per l’EPCS in caso di utilizzo di un’app OTP conforme agli standard FIPS.

A seconda delle normative rilevanti per il tuo settore, il token hardware o software distribuito potrebbe dover essere conforme a FIPS 140-2 in Nord America o a Common Criteria in altre regioni del mondo.

Accesso fisico/logico

Quando è richiesta una combinazione di accessi fisici e logici, potrebbero essere preferibili i token hardware che supportano il controllo degli accessi fisici basati su RFID. Scopri di più visitando la nostra pagina sulle soluzioni di controllo degli accessi fisici e logici.

Autenticazione multi-fattore

A prescindere dalla tecnologia di autenticazione a due fattori utilizzata, è possibile rafforzare la sicurezza valutando attributi contestuali aggiuntivi di un tentativo di accesso, come le variabili basate sul dispositivo e sul comportamento. Scopri di più visitando la nostra pagina sull’autenticazione contestuale.

Limitare diversi vettori di minaccia

Diverse tecnologie di autenticazione sono efficaci per contrastare diverse minacce. Per un sondaggio sui metodi di autenticazione e sulle minacce che affrontano, scarica il white paper sul sondaggio relativo alle tecnologie di autenticazione

Costo

Costi di implementazione e amministrazione

L’autenticazione OTP è tradizionalmente il metodo più conveniente, facile e veloce da implementare, in quanto non richiede la creazione di un’infrastruttura PKI che comporta l'acquisto di certificati digitali PKI da una CA per ciascun utente. Diversamente dall’autenticazione OTP che utilizza app installabili su dispositivi e desktop degli utenti, l’autenticazione PKI richiede un token hardware per ciascun utente al fine di proteggere la chiave crittografica privata. Per questa ragione, l’autenticazione OTP comporta solitamente costi minori di implementazione, risparmiando tempo e sforzi da parte del personale dedicato.

Quando si utilizza un token software, basato su OTP o PKI, la sua sostituzione può avvenire via etere eliminando i costi associati alla spedizione di un hardware di rimpiazzo.

Mantenimento dei token correnti

Le organizzazioni che hanno già implementato soluzioni di autenticazione a due fattori, basate su OTP o PKI, possono cercare modi di preservare i propri attuali investimenti.
Dove esistono già token PKI, le organizzazioni possono espandere o evolvere le implementazioni per garantire la mobilità. A tal fine, i progressi nella tecnologia mobile come SafeNet IDPrime Virtual e i dispositivi FIDO possono consentire alle organizzazioni di preservare i propri attuali investimenti e sfruttare l’infrastruttura PKI esistente.
Dove esistono già token OTP, le organizzazioni possono preservare i propri attuali investimenti cercando soluzioni che supportano token di terze parti e server RADIUS di fornitori terzi o soluzioni in grado di importare i token correnti basati su standard in una soluzione nuova (ad es. i token basati su OATH)

Fruibilità

Le organizzazioni che offrono una maggiore mobilità della forza lavoro, o che estendono l’autenticazione a partner e consulenti, possono cercare metodi di autenticazione sempre più trasparenti. I token basati su software e dispositivi mobili, come anche le soluzioni senza token, forniscono un percorso di autenticazione più conveniente che facilita l’attuazione di iniziative sicure di mobilità.

SafeNet Trusted Access

SafeNet Trusted Access

Scopri quanto è facile garantire la sicurezza delle app nel cloud con l'SSO

Passa facilmente da policy di accesso globali a granulari.

Scegli il futuro!

Prodotti di autenticazione a due fattori

Autenticatori OTP SafeNet: Thales offre la gamma di hardware, software e autenticatori OTP basati su dispositivi mobili più ampia del mercato, permettendo alle aziende di raggiungere vari livelli di efficacia nel proteggere qualsiasi soluzione di tipo enterprise, sia essa on-premise, basata sul cloud, remota o virtuale.
Scopri di più

Autenticatori OOB SafeNet di Thales : offrendo un’autenticazione fuori banda tramite notifiche push, SMS o e-mail, gli autenticatori OOB di Thales utilizzano un canale di comunicazione diverso da quello a cui si accede per fornire una OTP, migliorando sia la sicurezza che la praticità.
Scopri di più

Controllo degli accessi fisici e logici: combinando i controlli degli accessi fisici con quelli logici, le organizzazioni possono proteggere gli accessi fisici agli uffici e ai siti industriali e manifatturieri mettendo in sicurezza al contempo le reti e le applicazioni sensibili.
Scopri di più

Autenticatori PKI: la suite SafeNet di Thales di token PKI basati su certificati permette un accesso sicuro a un’ampia gamma di risorse e ad altre applicazioni di sicurezza avanzate tra cui firme digitali, crittografia di e-mail e autenticazione a due fattori.
Scopri di più

Domande frequenti sull’autenticazione a due fattori

L'autenticazione a due fattori (2FA) verifica le identità degli utenti. Più fattori vengono utilizzati per determinare l'identità di una persona, maggiore è la probabilità che sia autentica.

Per cosa viene utilizzata l’autenticazione a due fattori?

Proprio come non vorresti che la tua banca consentisse l’accesso al tuo conto corrente con una semplice password, vuoi garantire la protezione delle risorse chiedendo ai dipendenti di fornire un fattore di autenticazione aggiuntivo. In questo modo puoi verificarne l’identità e proteggerne le credenziali di accesso da hackeraggio o furti. Non vuoi consentire l'accesso alle tue risorse preziose (che si tratti di VPN, Citrix, Outlook Web Access o applicazioni cloud) con un unico fattore, spesso una password debole.

L’autenticazione a due fattori permette di rafforzare la protezione delle risorse vitali riducendo drasticamente le possibilità di vari attacchi alla sicurezza quali furti d’identità, phishing, frodi online e altro ancora.

Come funziona?

Possono essere utilizzati svariati metodi di autenticazione per verificare l’identità di una persona. SafeNet offre la gamma più ampia di metodi di autenticazione e fattori di forma del settore, permettendo ai clienti di affrontare svariati casi d’uso, livelli di garanzia e vettori di minacce.

  • Autenticazione basata su hardware: un hardware aggiuntivo posseduto fisicamente dall’utente, senza il quale non è possibile autenticarsi.
  • Autenticazione fuori banda: un hardware già posseduto dall’utente, utilizzabile per ricevere informazioni tramite SMS o e-mail in maniera sicura.
  • Autenticazione basata su software: i metodi di questo tipo distribuiscono un’applicazione software sul computer, sullo smartphone o sul dispositivo mobile dell’utente.
  • Password valida una sola volta (OTP): genera password dinamiche valide una sola volta (OTP) per autenticare correttamente gli utenti che accedono ad applicazioni e dati critici su token, dispositivi mobili o tramite autenticazione "in grid".
  • Token USB basati su certificati (CBA): offre accessi sicuri da remoto e altre applicazioni avanzate come firme digitali, gestione delle password, accesso alla rete e accessi fisici/logici combinati.
  • Token smart card basati su certificati (CBA): fattori di forma tradizionali di carte di credito, che permettono alle aziende di affrontare le esigenze legate alla sicurezza PKI e al controllo degli accessi.
  • Autenticatori ibridi: autenticatori che combinano password monouso, memoria flash crittografata o tecnologia basata su certificati sullo stesso dispositivo di autenticazione avanzata.

Cos’è l’autenticazione contestuale?

L’autenticazione contestuale utilizza le informazioni contestuali per accertare l’identità di un utente. Viene raccomandata come complemento ad altre tecnologie di autenticazione avanzata.

Le soluzioni di autenticazione SafeNet di ultima generazione offrono agli amministratori IT un approccio multistrato al controllo degli accessi. I dipendenti possono accedere in modo facile e sicuro ad applicazioni aziendali e SaaS, a patto che soddisfino i criteri predefiniti impostati dall'amministratore. Se un utente non rispetta le regole di accesso in vigore, potrebbe essere invitato a fornire un’autenticazione aggiuntiva prima che gli venga accordato l'accesso. Potrebbe trattarsi di un SMS o di una OTP generata da un token su smartphone, o un token hardware a seconda delle politiche aziendali. Clicca qui per leggere la nostra infografica sull’autenticazione contestuale.

Protegge gli accessi alle applicazioni cloud?

Con l’offuscamento dei confini perimetrali tradizionali a causa del passaggio al cloud, le organizzazioni hanno difficoltà ad acquistare, implementare e gestire criteri di accesso coerenti e unificati alle risorse aziendali distribuite. Con l’aumento dell'adozione del SaaS, non esiste più un unico punto di accesso alle app aziendali.

Le soluzioni di autenticazione SafeNet superano queste problematiche consentendo alle organizzazioni di estendere perfettamente gli accessi sicuri al cloud attraverso la federazione di identità.  Le piattaforme di autenticazione SafeNet sfruttano le infrastrutture di autenticazione esistenti delle organizzazioni, permettendo loro di estendere le identità on-premises degli utenti al cloud e consentendo di attuare criteri unificati di controllo degli accessi per le applicazioni sia cloud che di rete. Scopri di più sull’autenticazione avanzata per le applicazioni e i servizi SaaS basati sul cloud

L'autenticazione a due fattori protegge i dipendenti da remoto e gli impiegati con diversi livelli di rischio?

Fornendo un unico punto di gestione per definire e applicare i controlli degli accessi a tutte le risorse virtuali, su cloud e on-premises, SafeNet consente di estendere l’autenticazione a due fattori a tutti gli utenti a qualunque livello di rischio, inclusi i dipendenti da remoto.

Diversi metodi di autenticazione e fattori di forma affrontano diversi livelli di rischio degli utenti. Pertanto, un dipendente che ha accesso solo al portale aziendale avrà un metodo di autenticazione/fattore di forma diverso dall’amministratore IT della società.

Come funziona l'autenticazione a due fattori con l'adozione BYOD?

SafeNet offre diversi metodi per garantire un accesso sicuro dai dispositivi mobili alle risorse di rete, alle e-mail, alla VDI e altro:

  • Autenticazione dell’utente: identifica gli utenti che accedono alle risorse aziendali tramite VPN, wireless, punti di accesso, VDI.
  • Creazione di certificati per le credenziali per i dispositivi iOS: solo gli utenti i cui dispositivi dispongono di certificato possono accedere alle risorse aziendali.
  • Riconoscimento del dispositivo con autenticazione contestuale: riconosce gli utenti registrati che accedono alle applicazioni basate sul web dal browser mobile.

Le soluzioni di autenticazione SafeNet aiutano a proteggere gli accessi in scenari BYOD chiedendo agli utenti di registrare i propri dispositivi. In questo modo, le organizzazioni possono decidere che solo i dispositivi preregistrati possono accedere alla rete o che i dispositivi non registrati devono fornire un ulteriore metodo di autenticazione, ad esempio una OTP.

Come gestiamo tutte queste esigenze e soluzioni così diverse?

La necessità di attuare criteri unificati di controllo degli accessi ad applicazioni SaaS, soluzioni basate sul cloud e ambienti on-premises è fondamentale per creare e mantenere un accesso sicuro negli attuali ambienti della forza lavoro, estremamente mobili.

Sotto pressione per ridurre i costi e dimostrare il proprio valore, il personale dell’amministrazione IT cerca costantemente di ridurre i TCO. La gestione semplificata include gestione degli utenti, provisioning, Single Sign-On, autenticazione avanzata, autorizzazione, reportistica, audit e avvisi sui criteri integrati con LDAP/Active Directory.

Le soluzioni di autenticazione centralizzate SafeNet si basano su un’unica piattaforma di gestione che supporta:

  • Mobilità sicura dei dipendenti da dispositivi mobili aziendali e personali
  • Accesso sicuro da remoto (VPN) a reti aziendali
  • Accesso sicuro alle applicazioni cloud
  • Accesso sicuro alle VDI (Virtual Desktop Infrastructure)
  • Connessione sicura alla rete
  • Accesso sicuro ai portali web
  • Applicazioni di sicurezza avanzate, come l’autenticazione pre-boot e le firme digitali

In che modo l’autenticazione a due fattori è in linea con l’ecosistema informatico frammentato attuale delle imprese?

Un ecosistema informatico frammentato ostacola la sicurezza e la messa in conformità. Proteggere gli accessi dei dipendenti alle risorse aziendali in un ambiente frammentato è difficile. Le soluzioni di autenticazione SafeNet forniscono un unico punto di gestione che applica controlli di accesso coerenti all’intero ecosistema informatico. Grazie a una copertura completa dei casi d’uso, le nostre soluzioni forniscono oltre 100 integrazioni perfette pronte all’uso per cloud, VPN, VDI, portali web e LAN.

SafeNet garantisce una gestione agevole per gli amministratori IT fornendo:

  • Flussi di lavoro completamente automatizzati
  • Gestione delle soluzioni in base alle eccezioni
  • Audit trail unico di tutti gli accessi
  • Portale self-service
  • Accesso sicuro da qualunque dispositivo
  • Fornitura via etere di token software

Il desiderio di mantenere livelli accettabili di sicurezza degli accessi senza gravare sugli utenti finali, insieme alla necessità di supportare svariati dispositivi, porta le organizzazioni ad adottare soluzioni con un impatto minimo sull’esperienza utente. SafeNet garantisce un’autenticazione utente fluida con un’ampia gamma di token 2FA, metodi senza token e SSO federati al cloud.

SafeNet MobilePASS+ Mobile Authenticator App - Push and OTP

SafeNet MobilePASS+ Mobile Authenticator App - Push and OTP - Product Brief

End users and IT teams are experiencing waves of high stress due to the pandemic and escalating cyberattacks. Thales offers a simple and highly secure authenticator app that makes login fast and secure throughout each login session, lowering risk and ensuring secure remote...

Autenticazione su dispositivo mobile con MobilePASS+