MICROSOFT DICE ADDIO ALL'AUTENTICAZIONE DI BASE
Dal 1° ottobre 2022 Microsoft decreta la fine dell'autenticazione di base per l'accesso a Microsoft 365.
Dopo che Google ha attivato l'autenticazione a due fattori per gli account Google nel dicembre 2021, Microsoft ne seguirà l'esempio il 1° ottobre 2022 e abbandonerà definitivamente l'Autenticazione di base. L'accesso a Exchange Online per i clienti di Microsoft 365 sarà possibile solo con l'Autenticazione Moderna (Modern Authentication). L'Autenticazione di base è già stata disattivata per impostazione predefinita per i nuovi utenti di Microsoft 365 e per gli utenti di Microsoft 365 esistenti che non hanno utilizzato la piattaforma dall'ottobre 2020.
Il passaggio all'Autenticazione moderna garantisce che gli account utente e i dati in essi contenuti siano protetti molto meglio rispetto all'Autenticazione di base. Inoltre, la Modern Authentication può migliorare l'esperienza dell'utente. Qui di seguito spieghiamo la differenza tra l'Autenticazione di base e l'Autenticazione moderna, i motivi per cui l'Autenticazione di base non fornisce una protezione sufficiente e i vantaggi offerti dall'Autenticazione moderna.
Cos'è l'autenticazione di base?
Se si accede a un sito web e un popup del browser chiede di inserire il nome utente e la password, questo è ciò che viene originariamente descritto come "Autenticazione di base" (oppure autenticazione semplice, autenticazione con testo in chiaro o applicazioni meno sicure). Con questo metodo di autenticazione il nome utente e password sono contenuti in un unico campo in testo normale e con codifica base64. L’autenticazione semplice Questo tipo di autenticazione è utilizzato anche come schema di autenticazione nei server Microsoft Exchange. Quindi, per concludere la definizione: L'autenticazione di base è un metodo di autenticazione basato semplicemente su nome utente e password.
Se i controlli alle frontiere funzionassero come l'autenticazione di base, non ci sarebbero passaporti.
Per capire come funziona l'autenticazione di base, ecco un'analogia. Immagina il seguente scenario: sei appena atterrato in un aeroporto estero, scendi dall'aereo e ti dirigi verso il controllo di frontiera. Facciamo finta che il processo funzioni in modo un po' diverso da quello a cui sei abituato. Invece di mostrare il passaporto, dici all'agente di sicurezza: "Salve, mi chiamo Paolo Rossi, la mia password è XYZ e sono originario della Italia". Con queste informazioni, l'addetto alla sicurezza chiama le autorità nazionali italiane e spiega quanto segue: "C'è un tizio alla mia scrivania che vuole entrare nel nostro Paese. Dice di venire dall’Italia, di chiamarsi Paolo Rossi e di avere una password XYZ. È corretto?". Le autorità controllano le informazioni e le confermano. Quindi, l'addetto alla sicurezza è felice di dirti che le tue informazioni sono corrette e che sei autorizzato ad entrare nel Paese. Una procedura del genere al controllo di frontiera non sarebbe del tutto corretta, vero? Cosa c'è di sbagliato in questo approccio? Innanzitutto, non ci sono controlli aggiuntivi come un passaporto con informazioni aggiuntive come una foto, ecc. Come fa l'agente di sicurezza a sapere che sei effettivamente la persona che dichiari di essere? Chiunque conosca il tuo nome e la tua password potrebbe fingere di essere te. In secondo luogo, per identificarti devi rivelare a un'altra persona che non conosci (l’addetto alla sicurezza) informazioni che dovrebbero essere riservate. Questo, in sintesi, è il modo in cui funziona l'autenticazione di base nel mondo digitale.
Quali sono i problemi dell'autenticazione di base?
Nel mondo digitale, possedere le credenziali significa essenzialmente possedere la risorsa a cui si vuole accedere con tali credenziali. Il servizio su cui è memorizzata la risorsa non può distinguere tra te e qualsiasi altra persona che possiede le tue credenziali. Per quanto riguarda Microsoft 365 o Google Workspace, ciò significa che se si vuole dare a qualcuno l'accesso alla propria casella di posta elettronica, questi potrà utilizzare le stesse credenziali per accedere a Microsoft SharePoint, Teams e altri servizi sul proprio portale Microsoft o Google. Con la tecnologia basata sull'Autenticazione di base, è appena possibile limitare l'accesso ad altre risorse a cui si può accedere con le stesse credenziali. Purtroppo, esistono numerose vulnerabilità per la basic authentication (dove l'intestazione di autenticazione viene inviata ad ogni richiesta), quindi, l'opportunità di sottrarre le credenziali è praticamente illimitata. Ciò significa che con l'Autenticazione di base, le porte d'accesso ai tuoi dati sono spalancate e devono essere protette.
Che cos'è l'autenticazione moderna (Modern Authentication)?
L'autenticazione moderna è un termine originariamente definito da Microsoft, ma utilizzato anche da molte altre aziende per descrivere un insieme di elementi seguenti:
- Metodi di autenticazione (autenticazione = come qualcosa/qualcuno accede a un sistema)
- Metodi di autorizzazione (autorizzazione = meccanismi che assicurano che non si abbia pieno accesso a qualcosa per impostazione predefinita)
- Politiche di accesso condizionato (politiche che definiscono le condizioni in cui è necessario compiere determinati passi aggiuntivi per accedere a un sistema).
Nel mondo digitale lo standard industriale per l'autorizzazione si chiama OAuth2. Per l'autenticazione non esiste uno standard industriale, ma quello più utilizzato è OpenID Connect.
Come apparirebbe la Modern Authentication nella nostra analogia con l'aeroporto? Con l'autenticazione moderna, la procedura sembra abbastanza familiare: si vola all'estero, si scende dall'aereo e si va dall'agente di sicurezza al controllo di frontiera. L'ufficiale chiede di vedere il passaporto, sul quale può trovare tutte le informazioni importanti per identificare chi sei veramente e da dove vieni. Inoltre, queste informazioni sono protette da meccanismi antifalsificazione. Nel linguaggio tecnico, il passaporto è ciò che chiamiamo un token identificativo. Questo token contiene informazioni importanti: chi sei, chi ha creato il token, per quanto tempo è valido, ecc.
Dove si colloca l'autenticazione a due o più fattori (2FA/MFA)?
L'autenticazione a due fattori (2FA) e l'autenticazione a più fattori (MFA) fanno parte del processo di autenticazione. Il processo è il seguente: L'utente si connette al fornitore di identità (identity provider) che deve convalidare che sia proprio lui a cercare di connettersi. A seconda delle politiche di accesso condizionato definite dall'amministratore, l'identity provider potrebbe chiedere ulteriori informazioni. Se ritiene che la sola immissione delle credenziali non sia sufficiente ad autenticarti, ad esempio quando ti connetti da una rete sconosciuta, può chiederti ulteriori informazioni, ad esempio un codice che viene inviato al tuo smartphone. Microsoft ha implementato questo sistema in modo molto dinamico. I loro sistemi imparano continuamente e decidono cosa è un sistema sicuro e cosa no. Esiste anche la possibilità di definire un dispositivo come sicuro, ad esempio il notebook aziendale. Se un dispositivo viene definito sicuro, le credenziali vengono richieste una sola volta e poi viene memorizzato un cookie nel browser, in modo che al successivo accesso si acceda immediatamente senza richiedere nuovamente le credenziali o ulteriori dettagli. Si tratta di criteri aggiuntivi che un amministratore può definire e che sono particolarmente importanti in periodi come questo, in cui molte persone lavorano da casa (ad esempio quando si utilizza una rete non sicura invece di una VPN aziendale a casa).
Qual è il vantaggio dell'autenticazione moderna?
Uno dei maggiori vantaggi per gli amministratori di sistema è che tutti questi criteri vengono configurati in un'unica posizione centrale, ovvero presso l'identity provider. Ciò significa che più applicazioni sono collegate all'identity provider, ad esempio i servizi di identità forniti da Microsoft, più è conveniente configurare criteri di accesso condizionato per tutte queste applicazioni. In questo modo, l'amministratore non deve configurare criteri di accesso e impostazioni di sicurezza individuali per ogni applicazione. Esiste un'unica posizione in cui l'amministratore può definire i criteri di accesso per tutte le applicazioni integrate con l'identity provider. A lungo termine, più applicazioni supportano questo tipo di autenticazione, più sarà facile e intuitivo per l'amministratore gestire i criteri d’accesso. Inoltre, la Modern Authentication è molto più sicura della Basic Authentication.
Conclusione
L'autenticazione moderna non solo è molto più sicura dell'autenticazione di base, ma è anche più facile da usare e semplifica la gestione degli accessi alle risorse pubblicate sul web. Probabilmente l’hai già conosciuta grazie a Gmail, dal 1° ottobre dovrai usarla anche per accedere al tuo account di posta Microsoft.