Nel corso del Mese della Sensibilizzazione sulla Sicurezza Informatica, il National Institute of Standards and Technology (NIST) festeggia il 20° anniversario di questa importante iniziativa con una serie di eventi e iniziative che si svolgeranno durante tutto il mese. Tra questi, spiccano quattro blog che corrispondono ai principali messaggi identificati dalla National Cybersecurity Alliance (NCA): l’abilitazione della multi-factor authentication, l’utilizzo di password complesse e di gestori di password, l’aggiornamento del software e il riconoscimento e la segnalazione delle truffe di phishing.
Per inaugurare questa serie di blog per il 2023, il NIST ha intervistato David Temoshok, un esperto del NIST, che ha condiviso le sue intuizioni e le sue idee sull’abilitazione della Multi-Factor Authentication, oltre a illustrare gli sforzi in corso al NIST.
Multi-Factor Authentication: Un Pilastro della Cybersecurity
La multi-factor authentication (MFA) rappresenta un approccio cruciale per garantire la sicurezza delle identità digitali online. Questo metodo prevede l’utilizzo di una combinazione di elementi, tra cui qualcosa che si conosce (ad esempio, una password), qualcosa che si possiede (come un’app di autenticazione sullo smartphone) e qualcosa che si è (come l’impronta digitale o il riconoscimento facciale) per dimostrare l’identità dell’utente. Anche se la password di un utente viene compromessa, gli aggressori non possono accedere ai suoi account senza fornire il secondo fattore di autenticazione richiesto.
L’Approccio del NIST alla Multi-Factor Authentication
L’intervista a David Temoshok del NIST ha rivelato l’importanza dell’implementazione della multi-factor authentication nella protezione degli account online. Le Linee Guida sull’Identità Digitale del NIST forniscono processi fondamentali e indicazioni tecniche per la gestione delle identità digitali da parte delle agenzie federali. In particolare, il Volume B, si concentra sull’autenticazione dell’identità digitale dei soggetti che accedono ai servizi online governativi e sui processi di di autenticazione a più fattori e come tali processi vengono utilizzati per l’accesso a tutti i servizi online del governo federale. Tutti gli account creati per tali servizi richiedono la multi-factor authentication come controllo di sicurezza critico e protezione della privacy, garantendo una maggiore sicurezza contro gli attacchi informatici e il furto di account.
Lavoriamo a stretto contatto con le agenzie federali e l’industria per spiegare perché la multi-factor authentication è fondamentale per la protezione dagli attacchi informatici e dal furto degli account (e come può essere utilizzata nel modo più efficace per soddisfare le esigenze molto ampie e diversificate del governo e del pubblico che serviamo).
Il Ruolo Cruciale della Multi-Factor Authentication Aiuta le Persone e le Aziende
Le linee guida sull’identità digitale del NIST presentano tre livelli di garanzia dell’autenticazione per l’accesso ai servizi online del governo: basso, moderato e alto. La bassa garanzia è definita autenticazione a fattore singolo, che utilizza un singolo fattore di autenticazione, in genere un ID utente e una password, per accedere all’account online dell’utente. Tuttavia, questo è estremamente vulnerabile agli attacchi poiché i criminali informatici possono utilizzare vari metodi per indovinare, rubare e compromettere le password e assumere il controllo degli account personali.
L’implementazione della multi-factor authentication rappresenta una misura fondamentale per proteggere gli utenti e le aziende dai moderni attacchi informatici automatizzati. La necessità di utilizzare più di una password per accedere agli account online e per proteggerli contro gli attacchi di accesso è evidente, soprattutto in un’era in cui i criminali informatici sono sempre più abili nel violare le password deboli o rubarle. L’abilitazione della multi-factor authentication è una delle mosse più efficaci che chiunque possa compiere per migliorare la propria sicurezza online.
Ci vuole più di una password per proteggere i tuoi account online. La cosa fondamentale da fare oggi per migliorare la tua sicurezza online è abilitare la multi-factor authentication.
Cosa sta facendo il NIST e pianificando per il Futuro
Il NIST è attualmente impegnato nell’aggiornamento delle Linee Guida sull’Identità Digitale con la pubblicazione prevista della Revisione 4. Questo aggiornamento terrà conto dei cambiamenti tecnologici, delle nuove minacce informatiche e delle forme avanzate di autenticazione. In particolare, la Revisione 4 includerà una nuova sezione dedicata alla multi-factor authentication resistente al phishing, fornendo agli utenti ulteriori strumenti per proteggere i propri account da attacchi di ingegneria sociale.
Il nuovo volume fornisce una guida tecnica per la multi-factor authentication resistente al phishing utilizzando processi di autenticazione crittografica, come gli autenticatori Fast Identity Online (FIDO) disponibili in commercio e i processi di autenticazione crittografica Personal Identity Verification (PIV) del governo.
Un Ambiente di Lavoro Collaborativo e Professionale al NIST
David Temoshok ha anche sottolineato l’atmosfera di collaborazione e professionalità al NIST. Il processo decisionale collegiale e il rispetto delle diverse opinioni sono alla base del lavoro del NIST, garantendo che tutte le posizioni e i suggerimenti del team NIST vengano adeguatamente considerati e valutati.
In conclusione, l’abilitazione della multi-factor authentication rappresenta un elemento cruciale per la sicurezza online, e il NIST sta svolgendo un ruolo fondamentale nello sviluppo di linee guida e raccomandazioni per garantire la protezione delle identità digitali online.