What is the most secure type of multi-factor authentication?

Hardware security keys like YubiKeys provide the strongest MFA protection because they are phishing-resistant. They verify the legitimacy of the website before responding, so they cannot be tricked by fake login pages. Authenticator apps (TOTP) are the next best option, generating time-based codes that expire every 30 seconds. SMS-based MFA is the weakest common method due to SIM-swapping attacks and SS7 protocol vulnerabilities, though it remains better than no MFA at all.

What is an MFA fatigue attack and how do I avoid it?

An MFA fatigue attack, also called MFA bombing or push spam, occurs when an attacker who already has your password repeatedly triggers MFA push notifications, hoping you will approve one out of frustration or confusion. The 2022 Uber breach succeeded using exactly this technique. To defend against it, never approve an MFA prompt you did not initiate. Use number-matching MFA (where you must enter a displayed code rather than just tapping "approve"), and report unexpected MFA prompts to your security team immediately.

Configurazione MFA e Best Practice

Set up multi-factor authentication the right way.

Cos’è Configurazione MFA e Best Practice?

L'autenticazione multi-fattore blocca oltre il 99% dei tentativi automatizzati di compromissione degli account, secondo le ricerche di sicurezza di Microsoft. Ma non tutti i metodi MFA sono ugualmente robusti, e il modo in cui li configuri conta tanto quanto il fatto di averli abilitati. Questo esercizio ti guida nella configurazione dell'MFA su un account aziendale, confrontando i compromessi di sicurezza tra codici SMS, app authenticator e chiavi di sicurezza hardware. Vedrai una dimostrazione dal vivo di come gli aggressori intercettano le password monouso basate su SMS attraverso SIM swapping e proxy di phishing in tempo reale, il che rende gli SMS l'opzione più debole nonostante la comodità. La simulazione ti mette poi in uno scenario in cui ricevi una notifica push che non hai avviato, il segnale rivelatore di un attacco MFA fatigue in cui un avversario bombarda il tuo account con richieste di approvazione sperando che tu prema 'accetta' solo per farle smettere. Ti eserciti nella risposta corretta: negare la richiesta, cambiare immediatamente la password e segnalare l'incidente. L'esercizio si conclude con la gestione dei codici di backup, mostrando dove conservare i codici di recupero in sicurezza affinché tu non rimanga bloccato permanentemente se perdi il tuo dispositivo principale.

Cosa imparerai in Configurazione MFA e Best Practice

Configurare l'autenticazione multi-fattore utilizzando un'app authenticator e comprendere perché è più sicura dei codici basati su SMS
Riconoscere gli attacchi MFA fatigue (push bombing) e rispondere correttamente negando le richieste di approvazione non sollecitate e segnalando immediatamente
Confrontare le proprietà di sicurezza di SMS, app authenticator e chiavi hardware per fare scelte MFA informate per diversi tipi di account
Conservare i codici di backup e recupero MFA in un luogo sicuro separato dal dispositivo che esegue la tua app authenticator
Identificare i metodi MFA resistenti al phishing come le chiavi di sicurezza FIDO2/WebAuthn che eliminano il rischio di attacchi relay delle credenziali in tempo reale

Configurazione MFA e Best Practice — Fasi della formazione

Benvenuti a Valcrest Servizi Finanziari

Oggi, IT Security ha annunciato un’iniziativa a livello aziendale che richiede a tutti i dipendenti di abilitare l’autenticazione a più fattori (MFA) sui propri account. Questa formazione ti guiderà nella configurazione dell'AMF e nella comprensione delle migliori pratiche.
Perché le password non bastano

Ogni anno miliardi di password vengono rubate a causa di violazioni dei dati. Anche le password complesse possono essere compromesse da attacchi di phishing, keylogger o credential stuffing. L'AMF aggiunge un secondo livello di sicurezza. Anche se qualcuno ruba la tua password, non potrà accedere al tuo account senza il tuo secondo fattore, qualcosa che solo tu possiedi.
L'e-mail dell'iniziativa MFA

Alice riceve un'e-mail dalla sicurezza IT relativa al nuovo requisito MFA.
Accesso al Portale di Sicurezza

Alice fa clic sul collegamento per accedere al Portale di sicurezza. Questo portale consente ai dipendenti di gestire le proprie impostazioni di sicurezza, inclusa la registrazione all'AMF.
Accesso al portale di sicurezza

Viene visualizzata la pagina di accesso al Portale Sicurezza. Alice può utilizzare il suo gestore di password per inserire in modo sicuro le sue credenziali.
Comprendere i fattori dell'AMF

Il Portale di sicurezza visualizza una panoramica dell'autenticazione a più fattori. L'AMF richiede due o più di questi tre tipi di fattori: Qualcosa che sai : password, PIN, domande di sicurezza Qualcosa che hai : telefono, token di sicurezza, smart card Qualcosa che sei : impronta digitale, riconoscimento facciale, voce La combinazione di fattori di diverse categorie rende gli account molto più difficili da compromettere.
Visualizzazione delle opzioni MFA

Ora che hai compreso le tre categorie di fattori, esploriamo le opzioni MFA specifiche disponibili presso Valcrest Financial Services.
Opzioni MFA: codici SMS

Il portale mostra tre opzioni MFA. Il primo è la verifica via SMS: Messaggi di testo SMS Un codice viene inviato al tuo telefono tramite SMS Facile da configurare: basta il tuo numero di telefono Funziona su qualsiasi telefono che riceve SMS Limitazioni: Vulnerabile agli attacchi di scambio di SIM Può essere intercettato se il telefono è compromesso Richiede il servizio cellulare SMS meglio di nessuna MFA, ma non è l'opzione più sicura.
Opzioni MFA: app di autenticazione

La seconda opzione sono le app di autenticazione: App di autenticazione (Google Authenticator, Microsoft Authenticator, Authy) Genera password monouso basate sul tempo (TOTP) Lavora offline: non è necessario alcun servizio cellulare Più sicuro degli SMS: non è possibile scambiare la SIM I codici si rigenerano ogni 30 secondi Considerazioni: Richiede l'installazione di un app È necessario eseguire il backup dei codici di ripristino: perdere il telefono significa perdere l'accesso Le app di autenticazione sono consigliate per la maggior parte degli utenti.
Opzioni MFA: chiavi di sicurezza hardware

La terza e più sicura opzione sono le chiavi di sicurezza hardware: Token di sicurezza hardware (YubiKey, Google Titan, Feitian) Dispositivo fisico da collegare o toccare per autenticare Resistente al phishing: funziona solo su siti legittimi Non può essere intercettato da remoto Opzione più sicura disponibile Considerazioni: Richiede l'acquisto di un token fisico È necessario un backup chiave in caso di smarrimento Non supportata da tutti i servizi Le chiavi di sicurezza sono ideali per conti di valore elevato come i sistemi finanziari.

Cos’è Configurazione MFA e Best Practice?

Cosa imparerai in Configurazione MFA e Best Practice

Configurazione MFA e Best Practice — Fasi della formazione

Benvenuti a Valcrest Servizi Finanziari

Perché le password non bastano

L'e-mail dell'iniziativa MFA

Accesso al Portale di Sicurezza

Accesso al portale di sicurezza

Comprendere i fattori dell'AMF

Visualizzazione delle opzioni MFA

Opzioni MFA: codici SMS

Opzioni MFA: app di autenticazione

Opzioni MFA: chiavi di sicurezza hardware