L’esperienza di due importanti atenei italiani alle prese con l’applicazione di metodi di accesso più sicuri ai servizi online

Come coniugare la sicurezza informatica con la semplicità di accesso ai servizi? Come creare consapevolezza sui possibili rischi senza ottenere resistenze da parte degli utenti? Sono interrogativi che riguardano tutte le organizzazioni. Coinvolgere le persone, renderle partecipi e soprattutto contribuire alla loro formazione è senz’altro una ricetta vincente come dimostrano le esperienze dell’Università Ca’ Foscari a Venezia e dell’Università Bocconi a Milano.

Ne abbiamo parlato con Alvise Rabitti responsabile per la sicurezza IT dell’ateneo veneziano e Marco Pirovano responsabile del team di networking e sicurezza informatica della Bocconi.

Che cos’è la MFA e perché è importante il suo utilizzo?

Rabitti. L’autenticazione a più fattori (Multi Factor Authentication, o MFA) è il meccanismo di autenticazione “forte” più diffuso al giorno d’oggi: per provare la sua identità, l’utente deve fornire delle credenziali che coprano almeno due di queste tre tipologie: qualcosa che l’utente è (come un’impronta digitale), qualcosa che l’utente possiede (come un token USB, uno smartphone), qualcosa che l’utente sa (come una password, un PIN).

La semplice autenticazione tramite password spesso non basta per proteggere davvero gli account: da un lato, la sempre maggiore potenza di calcolo disponibile e diverse tecniche maturate negli anni, permettono la violazione di password anche molto complesse, dall’altro, l’onnipresenza di campagne di phishing molto ben congegnate rendono le password un segreto troppo semplice da ottenere.

Pirovano. L’autenticazione a due fattori migliora la sicurezza delle credenziali utilizzando un dispositivo secondario per verificare l’identità dell’utente quando accede alle applicazioni universitarie. Questa modalità protegge gli account nel caso in cui qualcuno riesca ad ottenere le credenziali di accesso.

Come tutti gli atenei, anche noi abbiamo riscontrato che i singoli utenti hanno un ruolo fondamentale nella sicurezza informatica. Anche se la tecnologia ci può aiutare, dobbiamo sempre ricordare il motto: “Sec_rity is NOT complete without U!” ovvero basta un solo utente e un solo click per provocare danni molto seri. Per questo la MFA può rendere più robusta la catena di sicurezza e prevenire problemi legati a comportamenti non corretti.

Come avete introdotto la MFA nelle vostre università?

Rabitti. Dall’inizio del 2023, circa 4.000 persone, ovvero tutto il personale docente, tecnico e amministrativo dell’Università Ca’ Foscari di Venezia, utilizzano l’autenticazione a più fattori per accedere alla maggior parte dei servizi informatici di Ateneo.

Prevedendo l’impatto del cambiamento, abbiamo preferito iniziare con una sperimentazione ristretta ad un piccolo gruppo, per poi estenderla rapidamente all’intero staff, che è molto variegato per ruoli, formazione, e competenze: la soluzione che stavamo cercando avrebbe dovuto soddisfare tanto il giovane docente di sicurezza informatica, quanto l’anziano luddista che non vuole intromissioni tecnologiche nella sua vita. Senza contare il temibile e trasversale partito del “si è sempre fatto così, quindi perché cambiare?”.

Pirovano. All’Università Bocconi, vogliamo avvicinarci gradualmente ad un modello Zero Trust (fiducia zero). Per questo siamo partiti dall’uso obbligatorio del Single Sign-On (SSO) per qualsiasi applicazione web, e successivamente iniziato ad adottare misure per proteggere il nostro sistema di autenticazione, basato su Shibboleth. In particolare, per quanto riguarda l’autenticazione a due fattori (2FA) abbiamo scelto di partire dal personale, per poi passare ai docenti e infine agli studenti.

Quale soluzione tecnica avete scelto?

Rabitti. Abbiamo cercato di individuare un secondo fattore di autenticazione “leggero”. Abbiamo considerato diverse ipotesi: dai codici via SMS alle impronte digitali, dai token USB a soluzioni come HMAC-based OneTime Password e Time-based One-Time Password.

Al termine della valutazione, il Time-based OTP (TOTP) ci è sembrato il più flessibile, e le diverse implementazioni disponibili ci hanno consentito di venire incontro alle esigenze degli utenti senza diminuire troppo la sicurezza del sistema. Il TOTP è un algoritmo che calcola una One-Time Password (OTP) a partire da un segreto condiviso tra ciascun utente e il server e il momento in cui viene eseguito il calcolo. La password varia ogni 30 secondi. Conoscere la OTP corretta è quindi una prova accettabile del possesso di un dispositivo autorizzato preventivamente tramite il segreto condiviso.

Pirovano. Abbiamo adottato sia soluzioni commerciali che open source. I docenti e lo staff ricevono una notifica push, mentre gli studenti devono inserire un codice TOTP. Per attivare la 2FA, l’Università ha deciso di utilizzare il groupMembership che è uno degli attributi rilasciati da Shibboleth ed esprime l’appartenenza di un utente ad un determinato gruppo: se un utente fa parte di un certo gruppo LDAP, allora è richiesto il secondo fattore di autenticazione. Ciò ha permesso di attivare le credenziali per gli utenti in momenti diversi e ha consentito al nostro servizio di assistenza di tenerli sotto controllo in caso di problemi. Oltre al sistema SSO, la 2FA è stata attivata anche per l’accesso VPN e per l’accesso ai principali sistemi universitari.

MFA e profili di garanzia delle identità digitali

Per la comunità dell’università e della ricerca, la Federazione IDEM ha elaborato negli scorsi mesi un nuovo regolamento sui “Profili di garanzia delle identità digitali”.

Si tratta di un documento che definisce i diversi livelli di affidabilità delle identità digitali e la robustezza dei metodi di autenticazione ad esse connessi, con l’obiettivo di implementare un quadro regolatorio condiviso per l’accesso ai servizi che richiedono il supporto degli standard di autenticazione definiti da REFEDS (per università e ricerca) e da ISO e ITU. La MFA è uno degli elementi richiesti per poter aderire ai profili di garanzia più elevati.

Per questo motivo GARR e il CTS IDEM hanno organizzato dei corsi di formazione per adottare la MFA utilizzando software open source come ad esempio PrivacyIDEA che può essere integrato sui principali sistemi di autenticazione SSO/SAML, Shibboleth e SimpleSAMLphp.

Maggiori informazioni sui corsi su: learning.garr.it

Quali sono stati i principali problemi che avete dovuto affrontare?

Rabitti. L’aspetto tecnico è stato piuttosto semplice: il sistema usato per il Single Sign On di Ateneo (Shibboleth) aveva a disposizione un plugin dedicato al TOTP, e l’integrazione con i sistemi di Ateneo è stata progettata e implementata da sistemisti e sviluppatori senza grosse difficoltà.

Applicazioni per calcolare il codice OTP ce ne sono molte anche gratuite, open source, e per tutti i dispositivi più comuni. Pur avendone individuato, verificato e consigliato alcune, abbiamo preferito lasciare liberi gli utenti nella scelta.

L’aspetto tecnico, dunque, non ha rappresentato un problema se confrontato con l’aspetto umano. Per curare quest’ultimo: come prima cosa abbiamo coinvolto tutti i colleghi che si occupano del supporto informatico nei dipartimenti, attraverso presentazioni, ascoltando le loro perplessità e rispondendo alle domande. Questo confronto e il loro supporto è sicuramente stato essenziale nel primissimo livello di gestione delle attivazioni, ed ha contribuito a creare la documentazione per gli utenti.

Abbiamo inoltre elaborato una strategia di comunicazione che ha visto la realizzazione di avvisi, guide, FAQ e interfacce “user-friendly”. Ciò ha permesso a ciascun utente di attivare l’applicazione per il codice OTP senza troppe difficoltà. Per diluire l’impatto di un cambiamento massivo abbiamo approfittato del cambio password richiesto periodicamente per attivare il sistema di OTP. In quell’occasione abbiamo imposto all’utente di inizializzare un dispositivo con il suo segreto comune. In questo modo abbiamo avuto la possibilità anche di fare correzioni in corso d’opera: adattando per esempio le FAQ in base alle reali domande dell’utenza.

Pirovano. Anche nel nostro caso le principali difficoltà sono state quelle legate alla relazione con gli utenti e al supporto per una corretta gestione degli accessi. Domande tipiche sono state: “Ho cambiato il mio telefono, come devo procedere?”, “Ho dimenticato il mio telefono a casa, come posso accedere ai vari servizi?”. Le risposte variano a seconda della soluzione adottata per la 2FA, ed è importante che il servizio di assistenza sia dotato degli strumenti adeguati per gestire tali problemi. Inoltre, prima di attivare il secondo fattore, è stato importante creare una strategia di comunicazione efficace e materiale informativo per gli utenti, in modo da consentire loro di familiarizzare con i nuovi strumenti.

Una buona comunicazione e la condivisione di buone pratiche sono quindi una chiave di successo per la sicurezza?

Rabitti. Assolutamente sì. Una comunicazione chiara e una documentazione in linguaggio non tecnico sono state di grande aiuto, e un supporto utenti coordinato e paziente è sempre essenziale. Nel giro di sei mesi tutto il personale tecnico/amministrativo e docente dell’Ateneo è passato ad utilizzare il sistema di autenticazione a più fattori e oggi le persone che chiedono aiuto sono sempre meno.

Pirovano. La comunicazione preventiva e tempestiva è fondamentale. La conoscenza dei rischi e la consapevolezza di attuare dei comportamenti virtuosi a livello personale è un fattore di indiscutibile importanza. Nel nostro Ateneo, abbiamo anche avviato un programma di sensibilizzazione sulla sicurezza informatica con l’obiettivo di aumentare l’attenzione degli utenti quando sono su Internet e, soprattutto, quando gestiscono la loro casella di posta. Campagne fittizie di phishing vengono effettuate periodicamente con l’obiettivo di incoraggiare gli utenti ad analizzare le email che ricevono e renderli consapevoli che un solo clic sbagliato potrebbe generare problemi per l’intero Ateneo.