Le 5 migliori pratiche per verificare in modo sicuro l’identità
Oggi la verifica dell’identità non deve essere solo precisa: deve essere anche resistente agli attacchi e semplice da usare per le persone autorizzate. La soluzione più rapida è adottare MFA resistente al phishing, proteggere l’help desk e aggiungere controlli sul dispositivo e sui dati biometrici.
Le organizzazioni che dipendono ancora da password deboli, codici usa e getta via SMS o processi di supporto poco uniformi lasciano spazio a furti di account, reset fraudolenti e accessi non autorizzati. Per questo la verifica dell’identità è diventata una parte centrale della sicurezza moderna: non basta sapere chi sta chiedendo accesso, bisogna anche capire come viene verificato e da dove arriva la richiesta.
Di seguito trovi cinque pratiche fondamentali per costruire controlli più solidi, ridurre l’esposizione agli attacchi e migliorare la resilienza complessiva degli accessi.
1. Usa un’autenticazione multifattoriale forte e resistente alla fatica
La MFA resta una delle difese più efficaci contro la compromissione degli account perché richiede più di un fattore per confermare l’identità. In pratica, combina elementi di categorie diverse: qualcosa che l’utente conosce, qualcosa che possiede e qualcosa che è, come una biometria.
La MFA, però, non è automaticamente sicura in ogni configurazione. Se implementata male, può essere aggirata tramite prompt bombing, SIM swapping o tecniche di ingegneria sociale che spingono l’utente ad approvare una richiesta falsa.
Per rafforzarla, le organizzazioni dovrebbero:
- abbandonare i codici temporanei via SMS o email quando possibile;
- privilegiare metodi phishing-resistant come chiavi FIDO2, passkey o autenticazione basata su certificati;
- usare app autenticatrici che generano codici locali, invece di approvazioni push troppo facili da abusare;
- applicare criteri coerenti su tutti i sistemi, così da evitare eccezioni pericolose.
Una MFA ben progettata non deve solo aggiungere un passaggio, ma deve rendere molto più difficile l’abuso dell’accesso anche in caso di credenziali rubate.
2. Metti in sicurezza il service desk contro il social engineering
L’help desk è spesso uno dei punti più vulnerabili dell’intera catena di sicurezza, perché gestisce richieste urgenti, reset password, modifiche MFA e altre operazioni ad alto impatto. Gli attaccanti lo sanno bene e fingono di essere dipendenti legittimi per convincere il personale di supporto a concedere accessi o modifiche sensibili.
Oggi questi attacchi sono diventati più credibili grazie a informazioni pubbliche facilmente reperibili e, in alcuni casi, a voci sintetiche o contenuti generati con AI. Il vero problema non è quasi mai la mancanza di strumenti, ma l’incoerenza con cui viene verificata l’identità durante le richieste di supporto.
Per ridurre il rischio, conviene:
- definire procedure obbligatorie di verifica prima di qualsiasi reset o modifica MFA;
- limitare le eccezioni nelle richieste urgenti;
- usare flussi guidati che blocchino l’operatore se la verifica non è completata;
- registrare e monitorare le richieste ad alto rischio per individuare anomalie.
Quando il service desk applica controlli uniformi, diventa molto più difficile per un attaccante ottenere un reset fraudolento o un cambio di credenziali.
3. Includi la fiducia del dispositivo nelle decisioni di accesso
Le credenziali da sole non bastano più. Un attaccante può rubare password, cookie di sessione o token MFA e poi presentarsi come un utente legittimo. Per questo sempre più aziende integrano la trust del dispositivo nella verifica dell’identità.
L’idea è semplice: non si controlla soltanto chi prova ad accedere, ma anche da quale dispositivo lo fa e in che stato si trova quel dispositivo.
I segnali più utili includono:
- dispositivo aziendale o personale;
- sistema operativo aggiornato o obsoleto;
- presenza di EDR o protezione endpoint;
- certificati del dispositivo e identificatori crittografici;
- reputazione del browser e integrità della sessione;
- indicatori di compromissione, rooting o jailbreak.
Questi elementi permettono di adattare la risposta di sicurezza al contesto. Un accesso da un laptop gestito e conforme può richiedere meno attrito, mentre lo stesso account usato da un dispositivo sconosciuto o da un IP sospetto può attivare una verifica aggiuntiva, una limitazione dell’accesso o un blocco.
4. Valuta l’uso delle passkey
Le passkey stanno diventando una delle alternative più interessanti alle password tradizionali. Si basano sugli standard FIDO2 e WebAuthn e usano la crittografia a chiave pubblica per autenticare l’utente senza trasmettere una password sulla rete.
Il vantaggio principale è la resistenza al phishing. La chiave privata resta sul dispositivo dell’utente e non viene condivisa con il servizio, riducendo il rischio di furto delle credenziali e di riuso delle password tra più sistemi.
Le passkey aiutano anche a semplificare l’esperienza utente, perché eliminano molti problemi legati alla memorizzazione e al reset delle password. Tuttavia, non sostituiscono ancora completamente tutti gli scenari legacy. Molte organizzazioni continuano a usare password come fallback, soprattutto per il recupero dell’account o nei cambi di dispositivo.
Per questo motivo, anche quando si adottano le passkey, restano importanti:
- politiche password robuste per i sistemi che le usano ancora;
- MFA resistente al phishing come controllo complementare;
- processi di recupero identità ben progettati;
- una strategia di migrazione graduale, non improvvisata.
5. Proteggi i dati biometrici
Le tecnologie biometriche, come impronta digitale, riconoscimento facciale e voce, possono migliorare la verifica dell’identità se sono implementate correttamente. Il loro valore è alto, ma anche il rischio è maggiore, perché un dato biometrico compromesso non si può semplicemente cambiare come una password.
La priorità è evitare, per quanto possibile, la conservazione di dati biometrici grezzi. In genere è più sicuro archiviare template cifrati e svolgere l’autenticazione localmente su dispositivi affidabili.
In ambienti ad alta sicurezza, stanno prendendo piede anche approcci orientati alla privacy, che cercano di confrontare o verificare i dati senza esporre direttamente il contenuto biometrico. Questo riduce sia il rischio tecnico sia quello legato alla protezione della privacy.
Le buone pratiche principali sono:
- non conservare più dati del necessario;
- cifrare i template biometrici;
- limitare l’elaborazione a dispositivi fidati;
- definire policy chiare di conservazione e accesso;
- monitorare l’intero ciclo di vita del dato biometrico.
Come costruire una verifica dell’identità più robusta
Le cinque pratiche sopra funzionano meglio quando vengono applicate insieme. La sicurezza non dipende da un solo controllo, ma dalla combinazione di autenticazione forte, verifica operativa, valutazione del dispositivo, passwordless dove possibile e protezione dei dati sensibili.
Per partire subito, molte organizzazioni possono seguire questo ordine pratico:
- sostituire i metodi MFA più deboli con opzioni phishing-resistant;
- standardizzare le procedure del service desk;
- introdurre segnali di trust del dispositivo nelle policy di accesso;
- avviare un progetto pilota con passkey;
- rivedere il trattamento dei dati biometrici e dei processi di conservazione.
Un approccio graduale aiuta a migliorare la sicurezza senza creare attriti inutili per gli utenti legittimi. Il risultato è un sistema di accesso più affidabile, più coerente e più difficile da sfruttare.
Technical Deep Dive
Per i team tecnici, la verifica sicura dell’identità dovrebbe essere trattata come un problema di risk-based access e non come un semplice controllo binario. In pratica, ogni tentativo di accesso dovrebbe essere valutato in base a segnali combinati: identità, dispositivo, posizione, postura di sicurezza, comportamento della sessione e sensibilità della risorsa richiesta.
Nelle architetture moderne, la MFA più efficace è quella che riduce al minimo i fattori esposti a phishing e replay. Le implementazioni con approvazione push sono spesso più deboli di quanto sembri, perché possono essere soggette a richieste ripetute, affaticamento dell’utente e social engineering. Per questo le opzioni basate su FIDO2 offrono un vantaggio rilevante: la sfida crittografica è legata all’origine del dominio e non riutilizzabile su siti falsi.
Anche il device trust dovrebbe essere integrato a livello di policy engine, non solo come controllo informativo. I segnali più utili sono quelli verificabili e difficili da falsificare: certificati del device, stato di conformità MDM, protezione endpoint attiva, versione del sistema operativo, presenza di root/jailbreak e integrità della sessione. Questi dati possono essere usati per applicare regole di accesso dinamiche, come step-up auth, sessione limitata o isolamento delle risorse più sensibili.
Sul fronte help desk, il principio più importante è la separazione tra identificazione e autorizzazione operativa. Un operatore non dovrebbe poter eseguire un reset o un cambio MFA solo perché la richiesta sembra plausibile. È preferibile che il workflow imponga un secondo canale di verifica, un controllo su attributi noti dell’utente o una prova crittografica già registrata. Nei contesti ad alto rischio, l’aggiunta di verifica documentale e liveness detection può ridurre in modo significativo l’impatto di impersonation e deepfake vocali.
Per le passkey, il punto architetturale chiave è la gestione del recovery path. Molti progetti falliscono non nella fase di login, ma nel recupero dell’account: se il fallback resta una password debole o un processo manuale troppo permissivo, il vantaggio delle passkey si riduce. Conviene quindi progettare recovery con fattori forti, timeout controllati, verifica identità stepwise e audit completo.
Infine, per i dati biometrici, il modello più prudente è ridurre al minimo l’esposizione del materiale sensibile. Dove possibile, l’elaborazione dovrebbe avvenire sul dispositivo, con template cifrati e senza conservazione del dato raw. In scenari avanzati, tecniche privacy-enhancing possono aiutare a limitare l’esposizione, ma richiedono una valutazione attenta di latenza, compatibilità hardware e superficie d’attacco complessiva.
