• Cloud, Guide, Microsoft 365, Sicurezza
• 2 Gennaio 2024

Il Leaked Credentials Detection (rilevamento delle credenziali violate) è un servizio che permette di identificare se le credenziali di accesso, come username e password, sono state compromesse e divulgate pubblicamente su internet, specialmente attraverso fughe di dati o data breaches. Questo tipo di servizio è particolarmente utile in un’era in cui le violazioni della sicurezza dei dati sono frequenti e possono portare a gravi conseguenze per gli utenti il cui account e informazioni personali sono esposti.

Il funzionamento di questi servizi si basa sull’analisi di database noti di credenziali rubate, che sono spesso disponibili su forum nascosti o dark web. Quando un utente inserisce le proprie credenziali su uno di questi servizi, esso verifica se corrispondono a quelle presenti nei database di dati violati. In caso affermativo, l’utente viene avvisato che le proprie informazioni sono state compromesse. Questo permette all’utente di prendere misure precauzionali, come cambiare le password o attivare ulteriori misure di sicurezza.

Da ottobre 2023 Microsoft offre gratuitamente i rapporti di rilevamento delle credenziali violate per tutte le licenze, inclusa la versione gratuita di Entra ID. Questo consente agli amministratori di accedere ai log e prendere provvedimenti in caso di rilevamento di credenziali violate.

Come è offerto questo servizio in Entra ID?

Il servizio di rilevamento delle credenziali violate in Entra ID di Microsoft offre diversi strumenti e caratteristiche per la protezione delle identità degli utenti. Il funzionamento è molto semplice e si compone di queste fasi:

1. Rilevamento delle credenziali violate: Entra ID utilizza la tecnologia di apprendimento automatico e AI di Microsoft per scansionare e trovare corrispondenze tra le credenziali attuali e quelle compromesse. Quando viene rilevata una corrispondenza, gli amministratori vengono notificati tramite il rapporto “Rilevamenti di rischio”. Questo rapporto fornisce informazioni dettagliate su quali credenziali utente sono state compromesse, lo stato del rischio associato e i livelli di rischio (alto, medio, basso).
2. Azione correttiva: Dopo aver rilevato credenziali violate, gli amministratori possono intraprendere diverse azioni. Queste includono il blocco temporaneo degli account utente associati alle credenziali compromesse, il monitoraggio dell’attività degli utenti per rilevare azioni insolite o dannose, l’istruzione degli utenti sull’importanza di password forti, l’aggiornamento delle politiche e delle procedure di sicurezza e l’indagine sulla fonte della fuga di credenziali.
3. Policy di rischio utente: Entra ID Protection permette di configurare una politica di rischio utente per richiedere automaticamente il reset della password agli utenti rilevati a rischio, come nel caso di credenziali violate. Questo riduce la necessità di informare manualmente gli utenti sulla necessità di un reset della password quando viene identificato un rischio. Ne abbiamo parlato nell’articolo Utilizzare Azure AD Identity Protection per rilevare e gestire i rischi legati all’accesso degli utenti – ICT Power
4. Politica di accesso condizionale basata sul rischio utente: Combinando il rilevamento del rischio utente con l’Accesso Condizionato, le organizzazioni possono creare politiche di controllo accesso più sicure e adattabili. Ad esempio, potrebbero richiedere l’autenticazione a più fattori e il reset della password per tutti gli utenti con un alto punteggio di rischio utente prima di accedere a qualsiasi risorsa. Ne ho parlato nella mia sessione #POWERCON2023 – evento online del 6 dicembre – Nicola Ferrini – Distribuire una soluzione Zero Trust con Microsoft Entra ID – ICT Power
5. Rilevamento per le identità dei carichi di lavoro (workload identities): Oltre alle credenziali degli account utente, Entra ID Protection estende la sua protezione anche alle identità dei carichi di lavoro. Se le credenziali di un’applicazione vengono pubblicate pubblicamente, verranno rilevate e visualizzate nel rapporto di rilevamento delle credenziali violate.
6. Licenze: Anche se alcune funzionalità di Identity Protection, come la possibilità per l’utente di auto-rimediare, richiedono licenze Entra ID P2 o Microsoft 365 E5, i rapporti di rilevamento delle credenziali violate sono ora disponibili gratuitamente. Per beneficiare del rilevamento delle credenziali violate, è necessario abilitare la sincronizzazione dell’Hash della Password.

Generazione del report Leaked User Credential Detection in Microsoft Entra ID

Per generare il report di rilevamento delle credenziali violate vi basta aprire Microsoft Entra admin center > Protection > Security Center > Risk detections e modificare il filtro Detection type scegliendo Leaked credentials.

Figura 1: Modifica del filtro Detection type per visualizzare il report relativo alle Leaked credentials

Una volta impostato il filtro sarà possibile visualizzare un report con gli utenti a cui sono state violate le credenziali. Per fortuna, come si può vedere dalla figura sotto, nel mio caso non ci sono credenziali violate.

Figura 2: Nel tenant non sono stati individuati utenti a rischio

I servizi di rilevamento delle credenziali violate possono essere offerti gratuitamente da varie organizzazioni e piattaforme di sicurezza informatica. Alcuni esempi noti includono siti web come Have I Been Pwned?, che permette agli utenti di verificare se il loro indirizzo e-mail è stato coinvolto in una violazione dei dati.

Questi strumenti sono diventati uno strumento essenziale per mantenere la sicurezza online. Aiutano a mitigare i rischi associati alla riciclaggio delle credenziali (credential stuffing), dove gli aggressori utilizzano username e password rubate per accedere a più account su diversi servizi. Inoltre, la consapevolezza della propria esposizione a violazioni dei dati può stimolare pratiche di sicurezza migliori, come l’utilizzo di password uniche e complesse per ogni account o l’adozione dell’autenticazione a due fattori.

Figura 3: Sito che permette di controllare se le proprie credenziali sono finite in un data breach

Se il vostro indirizzo mail è presente in un data leak il sito vi mostrerà anche in quale è stato trovato. Un data leak, o fuga di dati, è una situazione di sicurezza in cui dati sensibili, protetti o confidenziali vengono rilasciati, trasmessi o esposti a un ambiente non sicuro o non autorizzato. Questo può includere informazioni personali, finanziarie, aziendali o governative. Le cause possono variare tra errori umani, fallimenti di sicurezza informatica, attacchi di hacker, o compromissioni di sistemi. Le conseguenze di una fuga di dati possono essere gravi, comportando rischi per la privacy, danni finanziari, perdita di fiducia e potenziali sanzioni legali.

Figura 4: L’indirizzo e-mail controllato è presente in un data leak

C’è anche da dire che alcuni browser moderni offrono funzionalità per verificare se le vostre password sono finite in un data leak. Questi browser possono controllare se le credenziali memorizzate sono state esposte in violazioni dei dati note. Questo servizio si basa su database pubblici di credenziali violate. Se una corrispondenza viene trovata, il browser può avvisarvi e suggerirvi di cambiare la password per quella specifica piattaforma o servizio. Questa è una misura di sicurezza importante per proteggere le vostre informazioni online e soprattutto è disponibile gratuitamente anche per gli utenti consumer!

In Microsoft Edge potete utilizzare la funzione “Password Monitor” per controllare se le vostre password sono state esposte in una violazione dei dati. Quando attivate per la prima volta Password Monitor, Microsoft Edge confronta le password salvate nel browser con un vasto database di password violate note, conservate nel cloud. Se una delle combinazioni di username-password corrisponde a quelle nel database, appariranno nella pagina Password Monitor. Per attivare Password Monitor andate in Impostazioni > Profili > Password e attivate l’opzione Mostra avvisi quando le password vengono trovate in una violazione online.

Figura 5: Attivazione della funzionalità per la ricerca delle password in un data leak

Figura 6: Microsoft Edge Password Monitor

Conclusioni

Il rilevamento delle credenziali violate in Microsoft Entra è un’importante funzionalità di sicurezza che aiuta a identificare e gestire le credenziali di accesso esposte. Questo strumento utilizza tecnologie avanzate per confrontare le credenziali degli utenti con database di credenziali violate note. In caso di corrispondenze, gli amministratori vengono avvisati, permettendo loro di prendere misure proattive come il reset delle password o l’attivazione dell’autenticazione a più fattori, rafforzando così la sicurezza degli account aziendali e riducendo il rischio di accessi non autorizzati e altri pericoli informatici.

Ho voluto anche mostrare come Microsoft Edge offra ora strumenti come Password Monitor per avvisare gli utenti se le loro password sono state compromesse. Questa funzionalità aiuta a mantenere la sicurezza degli account online, suggerendo agli utenti di cambiare immediatamente le password esposte. È un passo importante per migliorare la sicurezza personale e aziendale online, riducendo il rischio di furti d’identità e altre minacce informatiche.