Con il processo di identificazione un utente inserisce un codice/user ID (IDentificativo). Se il codice è corretto l’utente è identificato. Il fatto però che un utente inserisce un ID corretto, non vuol dire che ne sia effettivamente il legittimo proprietario. Per questo motivo l’utente, per farsi credere, oltre a proprio identificativo fornisce al sistema informatico una prova. Nel caso più semplice un utente oltre allo user ID inserisce una password. La password che normalmente ci viene richiesta per ogni accesso ad un servizio o software, è  un meccanismo che serve a dimostrare che l’utente che ha digitato un user ID sia effettivamente chi dice di essere.

Nel processo identificativo viene quindi inserito un sistema di autenticazione digitale, Authentication System, il cui principale compito è rendere l’autenticazione certa.

Autenticazione digitale: accertare l’identità nel mondo digitale.

L’autenticazione indica il processo o metodo di validazione dell’identità dell’utente. Il sistema di autenticazione serve quindi a dare valore effettivo all’informazione di identificazione che si realizza. Generalmente Il processo di autenticazione definisce quali sono i metodi ritenuti validi per accettare un’identità prima ancora di completare il processo di identificazione.
Il processo di autenticazione è fondamentale in quanto il fatto che un utente reclami una certa identità non necessariamente vuol dire che tale identità sia effettivamente sua.
Uno dei metodi di autenticazione digitale più diffusi, oltre che più deboli, è l’associazione di una password ed un codice utente. La password serve a dimostrare che chi reclama un codice utente è effettivamente l’utente ad esso associato. L’accoppiata codice identificativo/password viene indicata con la parola credenziali (credential).

Oltre ad un nome utente e password da digitare esistono numerosi sistemi di autenticazione digitale più o meno sofisticati ed affidabili come l’autenticazione con impronta digitale, con il riconoscimento facciale. Uno dei metodi più sicuri e sofisticati è l’autenticazione che sfrutta certificati digitali ossia tramite smartcard. L’utente inserendo un PIN ed utilizzando il meccanismo delle chiavi pubbliche/private si fa riconoscere dal sistema.

Di seguito una descrizione dei principali meccanismi di autenticazione digitale alternativi alla consueta password.

autenticazione_digitale

Two-factor Authentication (2FA)

E’ un metodo di autenticazione che richiede che due delle tre componenti di verifica siano fornite e valide.
Le componenti di verifica possibili sono:

  1. Una cosa che sai, per esempio una password o il PIN.
  2. Una cosa che hai, come una smartcard, un telefono cellulare, una carta di credito o un oggetto fisico come un token.
  3. Una cosa che sei, come l’impronta digitale, il timbro vocale, la retina o l’iride, o altre caratteristiche uniche biometriche.

La sicurezza di questo metodo è direttamente legata sia alla scelta della componente, che dovrebbe essere unica e non clonabile, ma anche a come viene fornita la prova di possesso e validità della componente stessa. Immaginiamo che il secondo fattore sia uno smartphone. Come si fornisce la prova di possesso?

  1. La prova di possesso può essere realizzata inviando al momento dell’accesso un SMS con un testo contenente il codice di sicurezza che l’utente deve digitare.
  2. La prova di possesso potrebbe essere quella di chiedere all’utente la marca, il modello ed il numero di telefono dello smart phone.
  3. La prova di possesso potrebbe essere realizzata verificando l’IMEI ed il MAC Address Wifi dello smartphone con un apposito software.

Nei tre casi descritti si utilizza la stessa componente. La principale differenza è il come viene effettuata la prova di possesso. Nel secondo caso, infatti, è evidente che un qualunque utente potrebbe ottenere tali informazioni e quindi farsi riconoscere dal sistema senza effettivamente essere il titolare dello smartphone.

Nei sistemi di autenticazione digitale è quindi molto importante non solo valutare quali e quanti fattori utilizzare, ma l’intero processo di autenticazione.

Autenticazione forte (Strong Authentication)

L’autenticazione forte è uno metodo di autenticazione di cui si trovano diverse definizioni. Di sotto le principali per contesto.

  1. Sistemi informatici e contesti accademici: Si ottiene un’autenticazione forte quando si realizza un processo di autenticazione utilizzando un meccanismo crittografico di challenge response. Il processo non richiede l’invio di password in qualunque forma. In aggiunta un sistema di strong authentication, come meglio definito in ambito matematico, richiede che si utilizzino chiavi pubbliche/private ossia un sistema basato su PKI(Public Key Infrastructure).
  2. Unione europea e contesto bancario: Si ottiene una strong authentication quando si realizza un’autenticazione a due fattori. In aggiunta almeno un fattore non deve essere replicabile, riusabile e sottraibile via rete.

Smartcard Authentication

L’autenticazione digitale realizzata tramite una smartcard o meglio utilizzando un meccanismo di chiave pubblica/privata ed un certificato digitale, è riconosciuto come il meccanismo di autenticazione più affidabile e sicuro. E’ infatti un sistema a due fattori, basato su un meccanismo di verifica crittografico di challenge response, a base PKI. Le chiavi private utilizzate non possono essere esportate dalla smartcard che diviene non clonabile e non sottraibile via rete. In aggiunta l’azione di identificazione è non riusabile.

Dopo l’autenticazione, quali sono i diritti di un’identità digitale?

Con il processo di identificazione un utente inserisce un codice identificativo. Se il codice è corretto l’utente è identificato. Il sistema di autenticazione accerta che l’utente è effettivamente chi dice di essere. A questo punto cosa può fare l’utente nel sistema? Quali sono i suoi diritti?

Sempre più nei sistemi complessi che offrono servizi una delle informazioni più importanti è capire quale ruolo un utente ha.

Per questo nei processi di identificazione appare un nuovo ed importante attore, l’Authorization System o Policy Manager.


 

Luca ScottoAutore: Luca Scotto d’Antuono
Da sempre appassionato di tecnologie informatiche, ha accresciuto la sua esperienza in ambito programmazione, grafica digitale, sicurezza, progettazione e metodologie di sviluppo software. Ha approfondito tematiche di organizzazione aziendale, business plan, marketing. Si occupa della ideazione, progettazione, realizzazione e commercializzazione di prodotti di sicurezza applicativa per Pubbliche Amministrazioni, Aziende Ospedaliere, Campus e settore bancario.

9 COMMENTS