Autenticazione sì, ma quale?

AziendeSicurezza
0 0 1 commento

Una password forte, anche se lunga e complicata, è solo il primo passo . Solo la messa in atto di un’autenticazione a due fattori è in grado di aggiungere un secondo strato di sicurezza e di protezione tra i malintenzionati e i nostri dati

Come dimostrano anche i più recenti episodi di perdita di foto e informazione e in parallelo le mosse dei principali provider di email , dobbiamo prenderci cura della protezione dei nostri dati in cloud e su internet. Se da un lato i social media sono la nostra rappresentazione pubblica , dall’altro un account di email non contiene solo email , ma anche informazioni preziose e di diverso tipo.

 

mobile
Una password forte, anche se lunga e complicata, è solo il primo passo . Solo la messa in atto di un’autenticazione a due fattori è in grado di aggiungere un secondo strato di sicurezza e di protezione tra i malintenzionati e i nostri dati. Non basterà più avere la nostra password , ma anche un secondo livello di autenticazione che può a sua volta prendere diverse forme : SMS, email fino a una app presente sul nostro smartphone.
Alcuni servizi arrivano a offrire anche tre o più modalità di verifica per un’autenticazione detta aa più fattori. Indipendentemente dal sistema di autenticazione ogni login all’account dà vita a un codice che viene inviato con una certa modalità e senza di esso non si può accedere all’account.

Autenticazione a due fattori

vasco

L’autenticazione a due fattori è una procedura di sicurezza nel quale tentano in gioco forniti dall’utente due strumenti di identificazione , uno dei quali può essere uno strumento fisico come una scheda o una tessera e un altro è qualcosa di memorizzato come un codice di sicurezza. L’esempio più comune di autenticazione a due fattori è una tessera Bancomat in cui lo strumento fisico è la tessera stessa e il PIN è il dato che è ad esso associato.

Gli esperti che spingono per questo tipo di autenticazione ritengono che essa possa ridurre drasticamente le frodi online, dal furto di identità fino al phishing, dato che la conoscenza della password della vittima non è più sufficiente a consentire l’acceso da parte di un estraneo.
Di tutt’altro parere chi sostiene tra le altre cose che se un ladro ha accesso al computer può fare il boot in modalità safe, bypassare i processi di autenticazione fisica, fare una scansione del sistema alla ricerca di tutte le password e poi introdurle manualmente riducendo così una autenticazione a due fattori un solo fattore , la password.

token
Per questo alcune procedure di sicurezza richiedono una autenticazione a tre fattori che coinvolge oltre al possesso di un token fisico e di una password anche un dato biometrico come l’impronta digitale o vocale.

Il tutto rientra nelle tecniche di autenticazione a più fattori o multifattoriale che richiedono la presentazione di almeno tre fattori di autenticazione. Gli esperti si esprimono così: un fattore di conoscenza (“qualcosa che solo l’utente conosce”), un fattore di possesso (“ qualcosa che solo l’utente ha”) e un fattore intrinseco (“ qualcosa che è solo l’utente”). Ogni presentazione di ciascuno di questi fattori viene convalidato da una terza parte e solo in questo caso avviene l’autenticazione.
Tornando all’esempio del Bancomat . Quando un cliente sia avvicina a un Bancomat il primo fattore di autenticazione è la tessera che infila nella macchina ( qualcosa che l’utente possiede) , mentre il secondo fattore è il PIN che digita sulla tastiera ( qualcosa che l’utente conosce). Senza una validazione di questi due fattori l’autenticazione non va a buon fine.
I processi di autenticazione sono dipendenti tra loro e coerenti.

Il numero e l’indipendenza dei fattori è di grande importanza dato che un numero più alto di fattori indipendenti implica un più alta probabilità che chi produce queste prove della sua identità virtuale possieda anche la medesima identità nella vita reale. I due tra i tre fattori indipendenti di autenticazione sono identificati da standard e da normative di legge ; password e PIN ( che l’utente consoce), tessere , smart card e cellulari ( che l’utente possiede) e caratteristiche biometriche , come le impronte digitali ( che sono l’utente stesso).

Una precisazione finale che sembra solo formale , ma che si rivela importante. Talvolta l’autenticazione a più fattori viene confusa con l’autenticazione forte . Ad esempio la richiesta di una serie di risposte ad alcune domande può essere considerata un’autenticazione forte, ma non un’autenticazione a due o più fattori dato che manca uno dei due requisiti ( qualcosa che l’utente possiede o che l’utente è) validati in maniera indipendente.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore