La Strong Authentication è un argomento sul quale abbiamo già avuto modo di soffermarci. Ci rendiamo conto che, pur trattandosi di un concetto spesso ancora appannaggio degli addetti ai lavori, impatta sempre di più sulla nostra quotidianità. Sono i vari i contesti in cui ricorriamo all’autenticazione forte, dall’home banking fino ai servizi di posta elettronica. Diventa, inoltre, importante anche in ambito aziendale, dove sempre più spesso i dipendenti necessitano di accedere ai sistemi aziendali in sicurezza.

Vogliamo, quindi, illustrare i concetti fondamentali della strong authentication e perché è importante che diventi una buona abitudine nei sistemi di accesso.

Perché si usa la Strong Authentication?

La Strong Authentication (o autenticazione forte) viene utilizzata perché il classico metodo di username e password può essere facilmente compromesso da malintenzionati. Mentre in passato la password poteva essere sufficiente a garantire un certo livello di sicurezza, oggi, con l’ampliamento della superifici d’attacco e l’evoluzione degli attacchi, non è più così. Tipicamente, il furto delle credenziali avviene attraverso attacchi phishing, brute-force, malware o l’hacking delle credenziali del database.

Come funziona l’autenticazione a due fattori?
I metodi di autenticazione nei sistemi digitali possono distinguersi in 3 categorie:

  • “Una cosa che conosci”
    Un esempio di questa autenticazione sono le credenziali classiche, username e password o il PIN
  • “Una cosa che hai”
    In questo caso parliamo di un oggetto o dispositivo che l’utente possiede, come uno smartphone, una smartcard o un token
  • “Una cosa che sei”
    Qui il riferimento è alle caratteristiche fisiche del corpo umano (biometria) come le impronte digitali, la retina o il timbro vocale.

Sono due i metodi più comuni per l’autenticazione a due fattori:

  • OTP (One Time Password)
    E’ un metodo di autenticazione simmetrica, dove una password che può essere utilizzata solo una volta viene generata a contemporaneamente sul server di autenticazione e sul token, hardware e software, in possesso dell’utente. Se l’OTP generato sul token corrisponde a quello sul server, l’autenticazione avviene con successo.
  • Autenticazione PKI
    In questo caso, invece, abbiamo un metodo di autenticazione asimmetrico che si basa su una coppia di chiavi di crittografia diverse, una chiave privata e una pubblica. La chiave privata viene custodita in modo sicuro su degli appositi token USB o smart card certificati, mentre la chiave pubblica è accessibile a tutti coloro che necessitano di scambiare informazioni con l’entità proprietaria. Qualsiasi messaggio crittografato con una chiave privata potrà essere decifrato solo utilizzando la chiave pubblica corrispondente.

Qual è il metodo di autenticazione migliore?
Non c’è un’unica risposta a questa domanda e molto può dipendere dalla diversa motivazione che spinge a sceglierne una invece che un’altra.

  • Un appropriato livello di sicurezza
    Se da una parte l’OTP garantisce una sufficiente protezione per la maggior parte delle imprese, dall’altra per settori molto verticale che richiedono un alto livello di sicurezza (ad esempio pubblica amministrazione o la sanità) è preferibile l’autenticazione a chiave pubblica (PKI) certificata.
  • Costi
    Tipicamente l’autenticazione OTP ha costi più accessibili, oltre ad essere più veloce da implementare, mentre l’implementazione di un’infrastruttura PKI richiede l’acquisto di un certificato da una Certification Authority (CA) per ogni utente. Inoltre, l’OTP può essere installato sui dispositivi mobili o desktop e utilizzato come token, mentre l’autenticazione a chiave pubblica richiede un dispositivo ad hoc (token usb o smart card) per ciascuna chiave privata.
  • Standard di sicurezza regionale
    Il deploy dell’hardware o del software necessita di essere compliant alle leggi in vigore relative al settore industriale di riferimento
  • Usabilità
    Le organizzazioni che richiedono una forte mobilità dei propri dipendenti potrebbero aver bisogno di metodi di autenticazione più usabili. In tal caso, i software e i token basati su mobile, o anche soluzione tokenless, facilitano l’implementazione di soluzioni sicure anche in mobilità.

Possiamo affermare che, in un’epoca in cui i dati e le informazioni sono diventati una vera ricchezza, migliorare la sicurezza dei propri sistemi aziendali o anche semplicemente proteggere la propria identità online attraverso l’autenticazione forte, diventa fondamentale come custodire le chiavi di una cassaforte.

1 COMMENT

  1. […] Solo gli operatori autorizzati possono accedere ai dati del cliente per procedere con l’assistenza e quindi è necessario un sistema di identificazione efficace che impedisca accessi non consentiti. Per questo Bit4id ha recentemente sviluppato per TIM un sistema di gestione di token per l’autenticazione forte a due fattori. […]