Perché resistente al phishing non significa a prova di phishing

La precisione del linguaggio è importante nella sicurezza. Comprendere la differenza tra autenticazione resistente al phishing e autenticazione a prova di phishing orienta il modo in cui le organizzazioni valutano il rischio, allocano le risorse e comunicano con gli stakeholder. Questa distinzione influisce su tutto: dalle affermazioni dei fornitori al reporting al board, fino alle aspettative degli utenti.

L’accuratezza delle affermazioni crea credibilità presso il pubblico tecnico ed executive. I metodi di autenticazione resistenti al phishing riducono in modo significativo la probabilità di furto delle credenziali, ma non eliminano ogni vettore di attacco. 

In questo contesto, un metodo di autenticazione è la tecnica o la tecnologia usata per verificare l’identità di un utente, come passkey o token hardware, progettata per resistere agli attacchi di phishing. Sostenere che un meccanismo di autenticazione sia “a prova” di phishing suggerisce una protezione assoluta, una garanzia che nessuna tecnologia può offrire. Gli aggressori si adattano, trovando modi per aggirare anche i controlli più solidi tramite social engineering, hijacking di sessione o compromissione dei dispositivi.

Distinguere tra controlli e risultati chiarisce che cosa offrono realmente gli investimenti in sicurezza. Un’autenticazione forte è necessaria, ma non sufficiente per una protezione completa. Sebbene l’MFA standard, come i codici OTP o le notifiche push, sia ampiamente utilizzata, rimane vulnerabile al phishing e agli attacchi adversary-in-the-middle, a differenza dei metodi resistenti al phishing come le passkey, che impediscono agli aggressori di rubare credenziali tramite pagine di accesso contraffatte. 

Tuttavia, questi metodi non affrontano le minacce che si verificano dopo che l’autenticazione è riuscita o che aggirano del tutto l’autenticazione. Le organizzazioni che confondono controlli robusti con sicurezza completa creano una falsa fiducia, lasciando lacune irrisolte.

La comunicazione ai vertici richiede un inquadramento attento quando si riferisce a consigli di amministrazione e leadership. I team di sicurezza possono dimostrare una riduzione misurabile del rischio attraverso l’adozione dell’autenticazione resistente al phishing, senza fare promesse assolute. Il linguaggio dovrebbe riflettere i progressi: ad esempio, “Abbiamo eliminato il phishing delle credenziali come vettore di accesso iniziale per l’87% della nostra base utenti” comunica l’impatto senza promettere troppo. Questo approccio mantiene la fiducia, riconoscendo al contempo che la sicurezza resta un impegno continuo contro minacce in evoluzione.

La definizione di resistente al phishing si basa su metodi di autenticazione che vincolano crittograficamente le credenziali a origini specifiche, rendendole inutilizzabili su domini contraffatti. Quando un utente tenta di autenticarsi, il browser o l’autenticatore verifica l’origine del sito richiedente rispetto alle credenziali registrate. Se le origini non corrispondono — e su un sito di phishing non corrisponderebbero — l’autenticazione fallisce silenziosamente. 

Questa crittografia vincolata all’origine sconfigge i kit di phishing e gli attacchi relay che dipendono dall’intercettazione e dal riutilizzo delle credenziali. Queste credenziali resistenti al phishing sono fondamentalmente diverse dalle password tradizionali, perché non possono essere estratte e riutilizzate su siti fraudolenti. La crittografia a chiave pubblica è alla base di questi meccanismi, consentendo la generazione e la verifica sicure di coppie di chiavi crittografiche per l’autenticazione.

Gli autenticatori basati su hardware aggiungono un ulteriore livello di garanzia tramite chiavi di sicurezza resistenti al phishing. Questi dispositivi fisici conservano il materiale crittografico in hardware resistente alle manomissioni, impedendone l’estrazione anche se il dispositivo collegato è compromesso. La chiave privata è archiviata in modo sicuro sul dispositivo dell’utente e non viene mai trasmessa al server, garantendo la protezione dei dati di autenticazione sensibili. Questi dispositivi conservano in modo sicuro le chiavi crittografiche, proteggendole da furti o manomissioni. 

Il dispositivo dell’utente svolge un ruolo cruciale nella protezione delle credenziali di autenticazione. Le chiavi di sicurezza richiedono la verifica della presenza dell’utente — in genere la pressione di un pulsante o un controllo biometrico — assicurando che l’autenticazione avvenga per volontà effettiva dell’utente e non tramite automazione malware. Le chiavi di sicurezza FIDO rappresentano il gold standard per l’autenticazione resistente al phishing e sono protette crittograficamente dagli attacchi remoti.

I metodi di autenticazione passwordless e quelli resistenti al phishing non sono categorie identiche, anche se spesso si sovrappongono. Quando si confrontano approcci resistenti al phishing e passwordless, è importante capire che soluzioni di autenticazione senza password eliminano le password a favore di alternative come biometria, magic link o codici monouso.

Tuttavia, non tutti i metodi senza password resistono agli attacchi di phishing. I codici SMS e le notifiche push sono senza password, ma restano vulnerabili all’intercettazione e all’ingegneria sociale. Vere capacità resistenti al phishing richiedono un’associazione crittografica alle origini: una funzionalità presente nelle passkey FIDO2 e nelle chiavi di sicurezza FIDO, ma assente in molte implementazioni senza password.

L’autenticazione resistente al phishing chiude il vettore di accesso iniziale più comune, ma diversi tipi di attacco persistono anche dopo l’implementazione di metodi applicativi sicuri per l’autenticazione.

Le applicazioni malevole possono richiedere autorizzazioni OAuth che aggirano completamente l’autenticazione primaria. Un attaccante crea un’applicazione di terze parti apparentemente legittima e induce gli utenti a concederle l’accesso alle risorse aziendali. Una volta concesse, queste autorizzazioni operano indipendentemente dal metodo di autenticazione dell’utente. L’applicazione riceve token che consentono l’accesso ai dati finché non vengono revocati esplicitamente. Le organizzazioni devono monitorare i consensi concessi e implementare criteri che limitino quali applicazioni possono richiedere l’accesso ad ambiti sensibili. Questi attacchi di phishing prendono di mira il livello di autorizzazione anziché l’autenticazione.

L’autenticazione produce token di sessione archiviati nei cookie del browser o nella memoria locale. Gli attaccanti che compromettono questi token ottengono accesso senza doversi autenticare. Malware, vulnerabilità di cross-site scripting o intercettazioni di rete possono esporre i token di sessione dopo un’autenticazione riuscita. I metodi resistenti al phishing proteggono il momento dell’autenticazione, ma non mettono intrinsecamente al sicuro la sessione successiva. Token a breve durata, attributi sicuri per i cookie e requisiti di riautenticazione per azioni sensibili mitigano questo rischio, ma non lo eliminano.

Il malware su un endpoint può osservare e manipolare l’attività dell’utente indipendentemente dalla robustezza dell’autenticazione. Keylogger, strumenti di acquisizione dello schermo e attacchi con overlay dell’interfaccia utente operano dopo il completamento dell’autenticazione. Un attaccante con il controllo del dispositivo può approvare transazioni, esfiltrare dati o spostarsi lateralmente verso altri sistemi mentre l’utente legittimo resta autenticato. Protezione degli endpoint, sandboxing delle applicazioni e gestione degli accessi privilegiati offrono difesa in profondità oltre i controlli di autenticazione. Nemmeno le chiavi di sicurezza FIDO possono proteggere dalle minacce che si verificano su dispositivi compromessi dopo un’autenticazione riuscita.

Chiamate vocali, messaggi in chat e impersonificazione dell’help desk prendono di mira le persone anziché i controlli tecnici. Un attaccante potrebbe convincere un utente a eseguire azioni che concedono l’accesso, come installare strumenti di amministrazione remota, condividere codici monouso destinati alla reimpostazione delle password o approvare transazioni fraudolente. Capire come identificare un attacco di phishing va oltre il riconoscimento di pagine di accesso false e include il rilevamento della manipolazione su tutti i canali di comunicazione. Le passkey impediscono il furto delle credenziali, ma non impediscono a un attaccante di convincere qualcuno a compiere azioni dannose mentre è autenticato. Questi attacchi di phishing sofisticati sfruttano la psicologia umana anziché vulnerabilità tecniche.

Una protezione completa richiede più controlli che affrontino le minacce nelle diverse fasi e operino insieme all’autenticazione resistente al phishing.

L’accesso condizionale e i segnali di rischio valutano il contesto oltre alle credenziali di autenticazione. I controlli dello stato di sicurezza dei dispositivi verificano che gli endpoint soddisfino i requisiti di sicurezza di base prima di concedere l’accesso. L’analisi della posizione segnala tentativi di autenticazione da aree geografiche insolite. I segnali comportamentali identificano anomalie nei pattern di accesso, come accessi rapidi e consecutivi da località distanti, che suggeriscono credenziali o sessioni compromesse.

La protezione delle sessioni limita l’esposizione derivante da token rubati tramite controlli basati sul tempo e sul rischio. I token a breve durata scadono rapidamente, imponendo una nuova autenticazione che verifica il perdurare della legittimità. La riautenticazione adattiva al rischio sottopone gli utenti a verifiche quando accedono a risorse sensibili o quando i segnali comportamentali indicano una possibile compromissione. Le funzionalità di disconnessione globale consentono di terminare immediatamente le sessioni su tutti i dispositivi quando si verifica attività sospetta. Inoltre, standard emergenti come il token binding e le sessioni vincolate al dispositivo promettono di estendere le proprietà resistenti al phishing alle sessioni stesse, non solo all’autenticazione iniziale.

Le funzionalità di rilevamento e risposta portano alla luce le minacce che superano i controlli preventivi. Gli avvisi sulle concessioni di consenso anomale identificano potenziali abusi di OAuth prima che si verifichino danni significativi. Il rilevamento delle anomalie di sessione segnala scenari di viaggio impossibile o pattern insoliti di accesso ai dati. L'integrazione tra sistemi di autenticazione, piattaforme di rilevamento sugli endpoint e strumenti SIEM offre una visibilità correlata su tutta la superficie di attacco. Questi sistemi aiutano a identificare gli attacchi di phishing che prendono di mira le vulnerabilità post-autenticazione.

La formazione sulla consapevolezza della sicurezza deve andare oltre il tradizionale riconoscimento del phishing. Gli utenti devono comprendere i rischi post-autenticazione, tra cui phishing del consenso, furto di sessione e tattiche di social engineering rivolte agli utenti autenticati. La formazione dovrebbe affrontare esplicitamente gli scenari in cui l'autenticazione forte va a buon fine. Le minacce, tuttavia, permangono; per questo, la formazione sugli attacchi di phishing dovrebbe coprire sia il furto di credenziali sia lo sfruttamento post-autenticazione, aiutando gli utenti a riconoscere quando una sessione autenticata potrebbe essere compromessa o quando vengono manipolati per concedere autorizzazioni eccessive.

Le funzionalità di autenticazione resistente al phishing di Bitwarden si integrano direttamente nei flussi di lavoro di gestione delle password. Il supporto nativo per passkey e chiavi di sicurezza FIDO consente alle aziende e alle organizzazioni enterprise di eliminare le password vulnerabili al phishing mantenendo la comodità che gli utenti si aspettano. 

Bitwarden può aiutare a proteggere gli account Microsoft Office, inclusi quelli in Microsoft Office 365, dagli attacchi di phishing mettendo al sicuro le credenziali di accesso e imponendo un'autenticazione forte. Compilazione automatica vincolata al dominio impedisce l'inserimento delle credenziali su siti contraffatti rifiutandosi di compilare i campi di accesso su domini che non corrispondono alle credenziali salvate. Questo approccio è progettato per offrire una difesa contro gli attacchi di phishing incentrati sulle credenziali.

Il miglioramento della sicurezza degli account contro il phishing si estende all'applicazione dei criteri organizzativi tramite la console di amministrazione. I team di sicurezza possono rendere obbligatoria l'autenticazione a due fattori, limitare i metodi di autenticazione alle opzioni resistenti al phishing e monitorare gli eventi di autenticazione in tutta l'organizzazione. 

Il supporto per chiavi di sicurezza FIDO e altre chiavi di sicurezza hardware garantisce alle organizzazioni la possibilità di implementare la protezione più solida disponibile. Questi dispositivi archiviano in modo sicuro le chiavi crittografiche, proteggendole da furti o manomissioni e abilitando un controllo degli accessi sicuro.

Bitwarden Access Intelligence offre un monitoraggio continuo delle credenziali compromesse, avvisando gli amministratori quando le password dell'organizzazione compaiono in dataset di violazioni prima che gli aggressori possano sfruttarle.

I report di sicurezza integrati identificano nel vault password deboli, riutilizzate o esposte, consentendo una correzione proattiva prima che si verifichino attacchi di phishing. I log degli eventi forniscono tracce di audit per l'attività di autenticazione, supportando flussi di rilevamento e risposta che identificano comportamenti anomali. 

Bitwarden migliora inoltre la resistenza al phishing per le organizzazioni sfruttando metodi di autenticazione avanzati che proteggono dalle minacce di phishing sofisticate. Insieme, queste funzionalità creano una base per l'autenticazione resistente al phishing che riconosce sia le protezioni offerte da controlli solidi sia i livelli aggiuntivi necessari per una sicurezza completa.