Un’ingegnera di campo sale su un aereo, apre il laptop sopra l’Atlantico e accede a una workstation con dati dei clienti. Nessun Wi-Fi, nessuna VPN, nessun server di autenticazione raggiungibile. Se la vostra policy MFA crolla nel momento in cui cade la connettività, quell’accesso è protetto solo da una password — e le credenziali in cache sono esattamente ciò che gli attaccanti estraggono dai dispositivi rubati.
L’offline MFA colma questa lacuna. Impone un secondo fattore localmente, sul dispositivo stesso, utilizzando materiale crittografico pre-provisionato durante la registrazione. Implementato con il vecchio TOTP, rimane phishable e legato a un segreto condiviso. Implementato con credenziali FIDO2 vincolate all’hardware, diventa resistente al phishing e conforme ai requisiti di NIS2, DORA e PCI-DSS 4.0.
Le sezioni seguenti descrivono i meccanismi, il modello di minaccia, il mapping di conformità e le scelte di configurazione che distinguono un accesso offline senza password da una semplice funzione di adempimento normativo.
Cos’è l’offline MFA e perché il MFA standard fallisce senza connettività
Il MFA standard presuppone una connessione attiva al server di autenticazione. Se la rete viene interrotta, la maggior parte delle soluzioni blocca l’utente o ricorre a un accesso solo con password. L’offline MFA colma questa lacuna validando il secondo fattore direttamente sull’endpoint.
Definizione e lacuna di conformità: NIS2, DORA, PCI-DSS 4.0 e requisiti CMMC
L’offline MFA impone un secondo fattore quando il dispositivo non ha connessione internet o non riesce a raggiungere il provider di identità. I regolatori non accettano più la connettività come scusa: PCI-DSS 4.0 req. 8.4 impone l’MFA per tutti gli accessi ai sistemi in ambito, l’articolo 21 di NIS2 richiede controlli di autenticazione coerenti, e CMMC IA.L2-3.5.3 si applica a ogni sessione privilegiata.
Modello di minaccia: attacchi che l’offline MFA previene (laptop rubati, Evil Maid, Pass-the-Hash)
Un laptop rubato con hash NTLM memorizzati nella cache viene violato offline con facilità. L’offline MFA blocca la manomissione Evil Maid, il replay pass-the-hash e l’accesso fisico da parte di personale interno, richiedendo una credenziale vincolata all’hardware a ogni accesso.
Come funziona l’offline MFA: metodi e resistenza al phishing
L’autenticazione offline si divide in due famiglie: i metodi a segreto condiviso ereditati dagli anni 2010 e i metodi crittografici basati su chiavi vincolate all’hardware. Il divario di sicurezza è significativo quando il dispositivo è in modalità offline e un attaccante ha accesso fisico o prolungato.
TOTP, HOTP e codici di emergenza: l’approccio legacy a segreto condiviso
TOTP e HOTP si basano su un seed provisionato durante la registrazione e memorizzato sia nell’app di autenticazione che sul server. In modalità offline, il laptop valida il codice rispetto a una copia in cache di quel segreto. I codici di emergenza (stampati o conservati in un gestore di password) fungono da ultima risorsa. La debolezza è strutturale: il segreto condiviso può essere estratto da un’app di autenticazione compromessa, i codici sono phishable tramite ingegneria sociale, e i codici stampati sono vulnerabili al furto.
FIDO2, passkey e accesso offline senza password con PIN decentralizzato
FIDO2 e le passkey invertono il modello. Un Hideez Key memorizza una credenziale privata all’interno di un elemento sicuro; il laptop invia una sfida crittografica, la chiave la firma localmente, senza bisogno di rete. Combinato con un PIN decentralizzato o la biometria, questo fornisce un accesso offline senza password resistente a phishing, replay ed estrazione di credenziali.
Offline MFA su sistemi operativi e tipi di sessione
Accesso Windows, RDP e VPN senza raggiungibilità LDAP o RADIUS
Applicare l’MFA quando il domain controller non è raggiungibile è il punto in cui la maggior parte delle soluzioni fallisce. Un laptop in roaming nella schermata di accesso Windows non può interrogare LDAP offline; una sessione RDP fuori dal perimetro aziendale non riceve nessun heartbeat RADIUS. L’agente Hideez valida l’asserzione FIDO2 localmente rispetto a un trust anchor in cache, poi riconcilia l’evento con il server non appena la connettività viene ripristinata. La stessa logica si applica al pre-logon VPN e alle sessioni fuori dominio, eliminando la necessità di un intermediario IIS. Consultate la nostra guida su come aggiungere MFA a RDP per i dettagli di deployment.
Configurazione delle policy di offline MFA e dei flussi di ripristino
Frequenza di riautenticazione e registrazione remota per le nuove assunzioni
La cadenza di riautenticazione deve riflettere il rischio, non la comodità. Per gli amministratori con privilegi, imponete l’MFA a ogni accesso offline. Per i tecnici sul campo, una finestra di 24 ore bilancia attrito e sicurezza. I terzisti richiedono prompt per sessione indipendentemente dal tipo di connessione.
Le nuove assunzioni remote espongono la debolezza della registrazione in rete. Hideez spedisce chiavi hardware pre-provisionate con verifica dell’identità legata all’onboarding HR, così l’autenticazione del primo giorno funziona offline senza mai toccare la LAN aziendale.
Ripristino in caso di perdita del dispositivo: codici di emergenza, chiavi secondarie e scenari di perdita totale
I codici di emergenza stampati sono un rischio noto: conservazione cartacea, lacune nell’applicazione dell’uso singolo ed esposizione all’ingegneria sociale. Una seconda chiave hardware FIDO2 registrata all’iscrizione elimina tale rischio. Per gli scenari di perdita totale offline, Hideez supporta credenziali temporanee emesse dall’amministratore e revocabili al prossimo contatto con il server.
Domande frequenti
Qual è la differenza tra TOTP offline e l’autenticazione offline FIDO2 senza password?
Il TOTP offline si basa su un seed condiviso in cache sul dispositivo, generando codici temporali che l’utente digita al momento dell’accesso. Il seed può essere estratto da malware e il codice è phishable. L’autenticazione offline FIDO2 senza password utilizza una chiave privata vincolata all’hardware all’interno di un elemento sicuro, validata localmente tramite una sfida crittografica. Nessuna password, nessun segreto condiviso, nessuna finestra di replay.
Come si recupera l’accesso se un utente perde il proprio token hardware MFA offline?
Emettete un secondo Hideez Key pre-registrato oppure utilizzate codici di emergenza monouso conservati in modo sicuro. Se entrambi non sono disponibili, un amministratore genera una credenziale temporanea revocata al prossimo contatto con il server.
Microsoft Authenticator può essere usato offline per l’accesso a Windows?
L’app Microsoft Authenticator genera codici TOTP offline, ma l’integrazione nativa con l’accesso Windows richiede un agente di terze parti. Hideez gestisce l’autenticazione offline su Windows direttamente tramite il proprio client, senza dipendenza da un’app di autenticazione.
Hideez Workforce Identity offre offline MFA basato su credenziali FIDO2 vincolate all’hardware — imposto localmente, senza server, su parchi Windows e macOS. Prenotate una demo per vedere l’autenticazione offline in azione, o esplorate il programma partner per implementare Hideez per i vostri clienti.