Che cos'è l'MFA resistente al phishing? Sicurezza moderna

Che cos'è l'MFA resistente al phishing?

Il tuo utente ha appena approvato la quindicesima notifica push MFA alle 2 di notte perché gli avvisi non smettevano di arrivare. L'attaccante ora ha accesso autenticato alla tua rete. Questo scenario si verifica regolarmente: gli attacchi di MFA fatigue compaiono nel 14% degli incidenti di sicurezza analizzati nel Verizon Data Breach Investigations Report 2025, rendendo la MFA fatigue il principale metodo di bypass. L'ingegneria sociale è diventata la principale vulnerabilità nella multi-factor authentication tradizionale.

L'MFA resistente al phishing elimina questa vulnerabilità tramite un'architettura crittografica che rende strutturalmente impossibile il furto delle credenziali. Secondo il National Institute of Standards and Technology, l'autenticazione resistente al phishing richiede "password o biometria + processi crittografici a chiave asimmetrica (PIV, CAC, FIDO2)". La Cybersecurity and Infrastructure Security Agency (CISA) designa questo approccio come "lo standard d'oro per l'MFA" e identifica solo due implementazioni approvate: autenticazione FIDO/WebAuthn e autenticazione basata su PKI.

I metodi MFA tradizionali trasmettono credenziali che gli attaccanti possono intercettare e riutilizzare. I codici SMS, le notifiche push e le password monouso non sono crittograficamente vincolati agli endpoint di autenticazione legittimi. Un attaccante può inoltrarli tra la vittima e una pagina di login falsa durante la loro finestra di validità. L'MFA resistente al phishing utilizza la crittografia asimmetrica in cui le chiavi private non lasciano mai il dispositivo autenticatore e le sfide di autenticazione sono crittograficamente vincolate a domini specifici. Se tenti di autenticarti su un sito di phishing, l'autenticatore non può produrre una firma valida perché il dominio non corrisponde. L'autenticazione fallisce prima che qualsiasi interazione dell'utente possa compromettere la sicurezza.

Comprendere la definizione è una cosa. Capire perché è importante richiede di osservare la portata degli attacchi basati su credenziali che oggi colpiscono le organizzazioni.

Come l'MFA resistente al phishing si collega alla cybersecurity

L'Internet Crime Complaint Center dell'FBI ha ricevuto 193.407 segnalazioni di phishing nel 2024, rappresentando una sostanziale attività di cybercrime segnalata al principale meccanismo di reporting del governo federale. L'abuso di credenziali è stato presente nel 90% delle violazioni confermate di applicazioni web negli ultimi 18 mesi secondo l'analisi di Verizon.

Gli incidenti reali mostrano perché l'MFA tradizionale fallisce contro attaccanti determinati. Nel settembre 2022, Uber ha subito una violazione quando un attaccante ha bombardato un dipendente con notifiche push MFA finché il dipendente non ne ha approvata una. L'attaccante ha ottenuto accesso a sistemi interni tra cui Slack, Google Workspace e report sulle vulnerabilità. Nel maggio 2022, Cisco ha divulgato una violazione in cui gli attaccanti hanno utilizzato il phishing vocale per convincere un dipendente ad accettare notifiche push MFA dopo aver rubato le credenziali VPN. Il risultato è stato l'accesso non autorizzato ai sistemi interni e l'esfiltrazione di dati.

L'intelligence sulle minacce di CISA identifica che gli avversari, incluso il gruppo Scattered Spider, utilizzano tecniche di intercettazione e inoltro delle credenziali per ottenere accesso alla rete. L'MFA tradizionale offre solo una protezione limitata contro questi metodi. L'MFA resistente al phishing blocca sia il furto offline delle credenziali sia il phishing in tempo reale perché ogni richiesta di autenticazione richiede nuove sfide crittografiche che gli attaccanti non possono falsificare senza la chiave privata sul dispositivo autenticatore.

I team di security operations che monitorano i pattern di autenticazione necessitano anche di visibilità sul comportamento post-autenticazione. Piattaforme come la Singularity Platform correlano gli eventi di autenticazione con l'attività degli endpoint per individuare quando gli attaccanti passano a movimenti laterali o escalation dei privilegi dopo che gli utenti legittimi si sono autenticati. Ma prima di aggiungere il monitoraggio, è necessario comprendere i componenti fondamentali che rendono possibile l'autenticazione resistente al phishing.

Componenti principali dell'MFA resistente al phishing

L'MFA resistente al phishing si basa su un modello di credenziali fondamentalmente diverso rispetto all'autenticazione tradizionale. Invece di segreti condivisi noti a entrambe le parti, utilizza coppie di chiavi asimmetriche in cui solo l'autenticatore detiene la chiave privata.

Quando ti registri presso un servizio che supporta FIDO2, il tuo dispositivo client genera una coppia di chiavi che funziona solo per quella specifica applicazione. La tua chiave privata non lascia mai il dispositivo. Il servizio registra la tua chiave pubblica ma non possiede mai materiale segreto delle credenziali. Ogni servizio riceve una coppia di chiavi unica, impedendo la correlazione delle credenziali tra siti diversi. I dati biometrici e le chiavi private sono archiviati in hardware sicuro, proteggendo dal compromesso del dispositivo.

L'autenticazione resistente al phishing si basa su tre principali tipi di autenticatore:

• Chiavi di sicurezza hardware forniscono chiavi vincolate al dispositivo, non esportabili, archiviate in hardware resistente alle manomissioni. Si collegano tramite USB, NFC o Bluetooth. Sono ideali per la gestione degli accessi privilegiati, ambienti con workstation condivise e scenari ad alta sicurezza che richiedono attestazione hardware.
• Autenticatori di piattaforma sono integrati direttamente nei tuoi dispositivi tramite Windows Hello, Apple Touch ID e Face ID. Secondo la documentazione FIDO2 di Microsoft, questi autenticatori utilizzano moduli di sicurezza hardware: Trusted Platform Module (TPM) su Windows, Secure Enclave su dispositivi Apple e keystore hardware-backed su Android. L'autenticazione avviene tramite capacità biometriche e chiavi crittografiche archiviate all'interno di questi moduli hardware sicuri.
• Passkey sono credenziali FIDO rilevabili progettate per essere resistenti al phishing. Le passkey vincolate al dispositivo sono archiviate in moduli di sicurezza hardware e non possono essere esportate, offrendo il massimo livello di sicurezza. Le passkey sincronizzate si sincronizzano tra i tuoi dispositivi tramite crittografia end-to-end, privilegiando la comodità pur rispettando la definizione crittografica di autenticazione resistente al phishing.

Ognuno di questi componenti partecipa a una cerimonia di autenticazione strutturata che blocca il phishing tramite il vincolo crittografico del dominio. La sezione seguente illustra come funziona questa cerimonia passo dopo passo.

Come funziona l'MFA resistente al phishing

La cerimonia di autenticazione blocca il phishing tramite il vincolo del dominio a livello di protocollo. Quando inizi la registrazione, il sito web del relying party genera una sfida crittografica contenente dati casuali unici per quella registrazione. Il tuo dispositivo client crea una coppia di chiavi unica specifica per quel dominio.

Il tuo autenticatore firma la sfida con la nuova chiave privata creata e il server FIDO memorizza la chiave pubblica associata sia al tuo account utente sia ai metadati dell'autenticatore. Durante l'autenticazione, l'autenticatore richiede la verifica biometrica, l'inserimento di un PIN o la conferma della presenza fisica. Il sistema verifica che il dominio corrisponda a una credenziale registrata per quella specifica origine. Se ti trovi su un sito di phishing, il tuo autenticatore non troverà una credenziale corrispondente e l'autenticazione fallirà prima che tu possa compromettere la sicurezza.

Ogni autenticazione genera firme crittografiche uniche che non possono essere riutilizzate o inoltrate. Questo rende inefficaci gli attacchi man-in-the-middle. Gli attaccanti possono creare siti proxy identici ai servizi legittimi, ma la sfida crittografica si vincola al dominio di origine specifico. Il proxy non può falsificare la firma richiesta perché non controlla il dominio legittimo e non possiede la tua chiave privata.

Questa protezione a livello di protocollo è ciò che distingue l'MFA resistente al phishing dai metodi tradizionali su cui la maggior parte delle organizzazioni fa ancora affidamento.

MFA resistente al phishing vs. MFA tradizionale

L'MFA standard aggiunge un secondo fattore al login basato su password, ma la maggior parte delle implementazioni si basa ancora su segreti condivisi che gli attaccanti possono intercettare. La differenza tra approcci tradizionali e resistenti al phishing si riduce al fatto che le credenziali possano essere rubate durante il processo di autenticazione stesso.

Perché i metodi MFA tradizionali falliscono

Le password monouso via SMS e voce viaggiano attraverso reti di telecomunicazione dove gli attaccanti possono intercettarle tramite SIM swapping o sfruttamento del protocollo SS7. Le app di autenticazione generano codici temporanei che gli utenti inseriscono nei moduli di login, e i proxy di phishing in tempo reale catturano questi codici mentre gli utenti li digitano su siti falsi. 

Le notifiche push invitano gli utenti ad approvare le richieste di accesso, ma gli attacchi di MFA fatigue bombardano gli utenti con richieste ripetute finché non ne approvano una. Ognuno di questi metodi trasmette una credenziale riutilizzabile o dipende dal giudizio dell'utente per distinguere richieste legittime da quelle fraudolente.

Come l'MFA resistente al phishing colma il divario

L'MFA resistente al phishing elimina entrambi i problemi. L'autenticazione FIDO2/WebAuthn e quella basata su PKI utilizzano la crittografia asimmetrica in cui le chiavi private non lasciano mai il dispositivo autenticatore e ogni risposta di autenticazione è crittograficamente vincolata al dominio richiedente. Nessuna credenziale attraversa la rete che un attaccante possa intercettare. 

Nessuna decisione dell'utente determina se una richiesta è legittima perché il protocollo impone automaticamente la verifica del dominio. Google ha riportato zero attacchi di phishing riusciti contro i suoi oltre 85.000 dipendenti dopo aver implementato le chiavi di sicurezza FIDO, e l'implementazione di MFA resistente al phishing di Microsoft protegge ora il 92% degli account dei dipendenti con questi metodi.

Il divario tra questi approcci continuerà ad ampliarsi man mano che gli attaccanti adotteranno  ingegneria sociale basata su AI che rende l'intercettazione delle credenziali in tempo reale più rapida e convincente. Questo divario crescente è proprio il motivo per cui regolatori e organismi di standardizzazione stanno ora imponendo metodi resistenti al phishing.

Conformità e regolamentazione dell'MFA resistente al phishing

Mandati federali e standard globali ora richiedono o raccomandano l'autenticazione resistente al phishing, rendendo la conformità un fattore primario per l'adozione insieme ai benefici di sicurezza.

I principali framework che guidano l'adozione includono:

• OMB Memorandum M-22-09, emesso a gennaio 2022 nell'ambito dell'Executive Order 14028, ha richiesto a tutte le agenzie federali di implementare l'MFA resistente al phishing per il personale, i contractor e i partner come parte della strategia Zero Trust. Il memorandum afferma esplicitamente che le agenzie devono cessare il supporto ai metodi di autenticazione che non resistono al phishing, inclusi codici SMS, chiamate vocali, password monouso e semplici notifiche push. Anche i sistemi governativi rivolti al pubblico devono offrire opzioni resistenti al phishing agli utenti generici.
• Il  Zero Trust Maturity Model di CISA posiziona l'MFA resistente al phishing come requisito fondamentale nel suo pilastro Identity. Al livello di maturità ottimale, le organizzazioni implementano l'autenticazione resistente al phishing per tutti gli utenti e in tutti gli scenari di accesso.
• La NIST Special Publication 800-63B definisce l'Authentication Assurance Level 3 (AAL3) come richiedente autenticatori hardware resistenti al phishing con prova crittografica di possesso.

Oltre al governo federale degli Stati Uniti, questi requisiti influenzano i settori regolamentati a livello globale. Istituti finanziari, organizzazioni sanitarie e appaltatori della difesa che lavorano con agenzie federali devono rispettare gli stessi standard di autenticazione. La Direttiva NIS2 dell'Unione Europea richiede controlli di autenticazione più forti per gli operatori di infrastrutture critiche, e framework del settore privato come PCI DSS 4.0 ora raccomandano l'autenticazione resistente al phishing per l'accesso amministrativo agli ambienti di dati dei titolari di carta.

Le organizzazioni che ritardano l'adozione affrontano sia rischi regolamentari sia implicazioni assicurative, poiché le compagnie assicurative cyber richiedono sempre più spesso l'MFA resistente al phishing per l'idoneità alle polizze. A prescindere dalla conformità, i benefici di sicurezza stessi rappresentano una forte motivazione all'adozione.

Vantaggi principali dell'MFA resistente al phishing

Elimini gli attacchi di phishing alle credenziali. Il 36% dei consumatori che ha subito compromissioni di account a causa di credenziali deboli o rubate secondo il sondaggio FIDO Alliance 2025 ottiene protezione tramite il vincolo crittografico che rende il furto di credenziali tecnicamente impossibile.

L'MFA resistente al phishing offre protezione contro gli attacchi che compromettono sistematicamente l'autenticazione tradizionale:

• Attacchi SIM swap in cui gli attaccanti convincono gli operatori telefonici a trasferire il controllo del numero di telefono falliscono perché l'autenticazione è vincolata a chiavi crittografiche su hardware specifico, non ai numeri di telefono.
• Attacchi adversary-in-the-middle che catturano credenziali e token di sessione falliscono perché ogni richiesta di autenticazione richiede nuove sfide crittografiche specifiche per il dominio legittimo.
• Attacchi di MFA fatigue che bombardano gli utenti con richieste di approvazione falliscono perché l'autenticazione richiede il possesso fisico del dispositivo autenticatore con verifica della presenza dell'utente.

Questi meccanismi di protezione offrono miglioramenti concreti della sicurezza, ma le organizzazioni devono anche mantenere visibilità oltre il livello di autenticazione per individuare pattern di accesso anomali che indicano compromissione dell'account tramite metodi di attacco non basati su credenziali. Tuttavia, per realizzare questi benefici, è necessario affrontare diversi ostacoli di implementazione.

Sfide nell'implementazione dell'MFA resistente al phishing

Implementare l'MFA resistente al phishing in un'azienda non è una semplice modifica di configurazione. Le organizzazioni affrontano ostacoli architetturali, operativi e strategici che richiedono una pianificazione attenta per essere superati.

Compatibilità con applicazioni legacy

Le applicazioni legacy rappresentano il vincolo architetturale più significativo. Secondo le linee guida di CISA e FIDO Alliance, FIDO2 e WebAuthn richiedono browser web e sistemi operativi moderni. Le applicazioni che utilizzano protocolli di autenticazione legacy non possono supportare direttamente FIDO2 senza modifiche architetturali.

È necessario mappare i metodi di autenticazione alle capacità delle applicazioni: le applicazioni web moderne supportano nativamente FIDO2/WebAuthn, le applicazioni legacy possono richiedere autenticazione basata su PKI o soluzioni di bridge di protocollo, e il login al sistema operativo necessita di chiavi di sicurezza FIDO o autenticatori di piattaforma. I sistemi operativi più vecchi possono richiedere autenticatori esterni come chiavi di sicurezza FIDO2. Una migrazione completa a FIDO2 può richiedere diversi anni per ambienti IT complessi, richiedendo strategie di implementazione graduale che diano priorità prima agli utenti e ai sistemi di maggior valore.

Integrazione con il ciclo di vita dell'identità

L'integrazione con la gestione del ciclo di vita dell'identità richiede anch'essa una pianificazione accurata. È necessario incorporare il provisioning e il deprovisioning degli autenticatori nei flussi di lavoro IAM esistenti per supportare gli eventi joiner-mover-leaver. L'infrastruttura del server FIDO deve offrire funzionalità self-service per gli utenti, controllo del ciclo di vita amministrativo, integrazione con API gateway e enforcement delle policy in linea con il modello ICAM centralizzato per le implementazioni aziendali.

Evoluzione delle tattiche degli attaccanti

Gli attaccanti si adattano alle misure difensive. Sebbene l'MFA resistente al phishing elimini il phishing delle credenziali e le tecniche di bypass dell'MFA tradizionale, gli attaccanti determinati si spostano su altri metodi. Devi comunque affrontare il compromesso degli endpoint, vulnerabilità applicative, ingegneria sociale che prende di mira altri controlli di sicurezza e attacchi alla supply chain. L'MFA resistente al phishing offre una forte sicurezza di autenticazione ma richiede l'integrazione in strategie di defense-in-depth più ampie. Anche tenendo conto di queste sfide, molte organizzazioni compromettono le proprie implementazioni attraverso errori evitabili.

Errori comuni nell'MFA resistente al phishing

Le organizzazioni che implementano l'MFA resistente al phishing possono comunque indebolire la propria postura di sicurezza a causa di errori di implementazione. Gli errori più gravi reintroducono le stesse vulnerabilità che l'autenticazione resistente al phishing era stata progettata per eliminare.

• Mantenere opzioni di fallback verso metodi non resistenti al phishing crea lacune di sicurezza sfruttabili. Le organizzazioni implementano FIDO2 per l'autenticazione primaria ma mantengono codici SMS o notifiche push come opzioni di backup. Gli attaccanti individuano e prendono di mira questi meccanismi di fallback, costringendo gli utenti a percorsi di autenticazione meno sicuri. È necessario eliminare tutti i metodi di autenticazione legacy una volta completata l'implementazione dell'MFA resistente al phishing, bloccando l'autenticazione di base, i codici SMS e l'accesso solo con password.
• Copertura inadeguata di dispositivi e piattaforme crea opportunità di bypass. Una pianificazione che si concentra solo sui dispositivi gestiti dall'azienda lascia lacune per scenari BYOD, accesso di contractor e federazione con partner. Gli attaccanti manipolano i processi di login per bypassare l'MFA sostenendo che i dispositivi non supportano l'autenticazione forte. Sono necessarie policy di enforcement che impediscano attacchi di downgrade dell'autenticazione.
• Mancata integrazione degli autenticatori nei flussi di lavoro del ciclo di vita dell'identità crea oneri operativi e lacune di sicurezza. Implementare autenticatori senza provisioning autonomo durante l'onboarding o revoca autonoma durante l'offboarding porta a credenziali obsolete. Secondo l'Identity Lifecycle Management Playbook di IDManagement.gov, le organizzazioni necessitano di linee guida su "come supportare autenticatori resistenti al phishing" nei processi joiner-mover-leaver. I processi manuali per la gestione del ciclo di vita delle credenziali non sono scalabili e creano finestre in cui ex dipendenti mantengono capacità di autenticazione.
• Pianificazione insufficiente del recupero account crea ulteriori vulnerabilità. Se non si richiede la registrazione di più autenticatori durante l'iscrizione, gli utenti con un solo autenticatore rischiano il blocco dell'account se perdono la chiave di sicurezza o sostituiscono il telefono senza migrazione delle credenziali. Secondo la guida all'implementazione aziendale di FIDO Alliance, richiedere la registrazione di più autenticatori previene il blocco degli account. I meccanismi di recupero devono mantenere le proprietà di resistenza al phishing per evitare di creare superfici di ingegneria sociale.

Ognuno di questi errori ha un filo conduttore comune: introduce lacune che riportano la postura di autenticazione alle stesse debolezze che l'MFA resistente al phishing era stato progettato per eliminare. Le seguenti best practice aiutano a evitarli.

Best practice per l'MFA resistente al phishing

Le implementazioni di successo seguono un approccio strutturato che bilancia i guadagni di sicurezza con la prontezza operativa. Queste pratiche si basano sulle linee guida CISA, sulle raccomandazioni di FIDO Alliance per le aziende e sulle implementazioni documentate delle agenzie federali.

Costruire su un'infrastruttura di identità centralizzata

Inizia con piattaforme centralizzate di Identity, Credential e Access Management. L'implementazione FIDO del Dipartimento dell'Agricoltura degli Stati Uniti, documentata da CISA come caso di successo, ha utilizzato piattaforme SSO esistenti per abilitare i metodi di autenticazione FIDO. USDA ha fornito autenticazione resistente al phishing agli utenti senza PIV card utilizzando un'architettura centralizzata. Si ottiene una distribuzione più rapida e una migliore esperienza utente costruendo sull'infrastruttura di identità esistente.

Dare priorità prima agli utenti e ai sistemi di maggior valore

Implementa immediatamente l'MFA resistente al phishing per amministratori di sistema, dirigenti, legali, personale HR e top management. Concentrati sulle risorse altamente mirate come sistemi di posta elettronica, file server, sistemi di accesso remoto e console amministrative. Riduci la concentrazione del rischio acquisendo esperienza operativa con popolazioni di utenti limitate prima del rollout aziendale completo.

Implementare enforcement graduale

Inizia distribuendo credenziali resistenti al phishing agli utenti pronti per l'autenticazione passwordless su dispositivi gestiti. Procedi con l'enforcement delle policy che richiedono l'MFA resistente al phishing per l'accesso alle risorse. Completa la transizione richiedendo a tutti gli utenti di autenticarsi con credenziali resistenti al phishing. Questo approccio a fasi evita interruzioni operative mantenendo miglioramenti della postura di sicurezza a ogni fase.

Supportare più metodi resistenti al phishing

Pianifica strategie di autenticazione ibride che supportino sia FIDO2 sia metodi basati su PKI. FIDO2 offre la migliore esperienza utente per le applicazioni cloud mentre l'autenticazione basata su certificati PKI fornisce un'infrastruttura matura per sistemi legacy con requisiti normativi stringenti. Supportare più metodi resistenti al phishing offre flessibilità senza compromettere la sicurezza ricorrendo a opzioni non resistenti al phishing.

Richiedere la registrazione di più autenticatori

Richiedi la registrazione di più autenticatori durante l'iscrizione iniziale per prevenire scenari di blocco account. Le organizzazioni possono richiedere sia autenticatori di piattaforma sia chiavi di sicurezza hardware, oppure supportare più autenticatori dello stesso tipo come credenziali di backup. I processi di recupero devono mantenere le proprietà di sicurezza crittografica tramite meccanismi come autenticatori di backup o procedure sicure di recupero account.

Eliminare i metodi di autenticazione legacy

Imponi l'eliminazione completa dei metodi di autenticazione legacy una volta che l'implementazione è sufficientemente completa. Il motore di policy blocca l'autenticazione di base, i codici SMS, l'accesso solo con password e le notifiche push tradizionali su tutte le applicazioni. Audit regolari individuano applicazioni che accettano ancora autenticazione legacy e ne danno priorità alla migrazione o alla dismissione.

Seguire queste pratiche offre una solida base di autenticazione, ma l'autenticazione da sola non copre l'intera superficie di attacco. È inoltre necessaria visibilità su ciò che accade dopo che gli utenti hanno effettuato l'accesso con successo.

Rafforza l'MFA resistente al phishing con SentinelOne

La Singularity Platform di SentinelOne offre funzionalità di identity threat detection and response (ITDR) che estendono la sicurezza dell'autenticazione all'attività post-login. La piattaforma correla gli eventi di autenticazione con il comportamento degli endpoint, l'attività di rete e le azioni degli utenti. Purple AI accelera l'indagine sulle anomalie di autenticazione tramite query in linguaggio naturale, riducendo il volume degli alert dell'88% e diminuendo lo sforzo manuale dei team di sicurezza nell'analisi dei pattern di autenticazione. Ottieni visibilità su anomalie di velocità di autenticazione, scenari di impossibilità geografica, cambiamenti di fingerprint dei dispositivi e deviazioni nei pattern di accesso che suggeriscono uso improprio delle credenziali.

Singularity Identity protegge la tua infrastruttura di identità con difese in tempo reale per Active Directory e provider di identità cloud inclusi Entra ID. Quando anomalie comportamentali indicano escalation di privilegi insolite, tentativi di credential dumping o movimenti laterali dopo eventi di autenticazione, la tecnologia Storyline della Singularity Platform ricostruisce la narrazione completa dell'attacco, consentendo indagini più rapide e risposta autonoma.

L'MFA resistente al phishing crea una base di autenticazione strutturalmente sicura. Massimizzi questo investimento implementando  strumenti di cybersecurity complementari che monitorano l'attività post-autenticazione, individuano anomalie comportamentali indicative di compromissione e rispondono autonomamente alle minacce che prendono di mira vulnerabilità oltre il livello delle credenziali.

Richiedi una demo con SentinelOne per vedere come la correlazione degli eventi di autenticazione con il comportamento degli endpoint offre una visibilità completa sulle minacce.

Punti chiave

L'MFA resistente al phishing elimina il phishing delle credenziali tramite crittografia asimmetrica e vincolo del dominio che rende strutturalmente impossibile il furto delle credenziali. CISA designa l'autenticazione FIDO/WebAuthn e quella basata su PKI come gli unici metodi resistenti al phishing approvati. 

L'MFA tradizionale fallisce sistematicamente contro gli attacchi moderni, con la MFA fatigue presente nel 14% degli incidenti e l'abuso di credenziali che guida il 90% delle violazioni delle applicazioni web.