L’autenticazione è il processo tramite il quale si verifica l’identità di un utente o di un dispositivo. In altri termini il processo di autenticazione ha lo scopo di stabilire se un individuo o un sistema sono, in effetti, ciò che dichiarano di essere. In senso più ampio l’autenticazione può anche essere vista come una misura di sicurezza progettata allo scopo di stabilire la validità di una trasmissione, di un messaggio o di chi/cosa ha dato origine alla trasmissione o al messaggio stesso. Nell’ambito dei sistemi di sicurezza, il processo di autenticazione è distinto da quello di autorizzazione, quest’ultimo è infatti il processo tramite il quale si concede ad un’entità il permesso di accedere a specifiche categorie di risorse e/o informazioni in base all’identità dell’entità stessa. Logicamente, l’autenticazione precede l’autorizzazione e i due processi sono spesso utilizzati in combinazione fra loro, può accadere che i due termini vengano usati come sinonimi, ma si tratta in realtà di due processi differenti. L’autenticazione mira ad assicurare che l’entità che richiede l’accesso sia in realtà chi o che cosa afferma di essere, nulla viene stabilito in questa fase relativamente ai diritti di accesso dell’entità stessa.
Tipi di autenticazione
Quando si tratta di autenticare un essere umano si confida essenzialmente su tre diversi tipi di informazioni, comunemente chiamati fattori di autenticazione:
- Qualcosa che si conosce: ad esempio una password o un semplice PIN
- Qualcosa che si possiede: ad esempio una smartcard
- Qualcosa che si è: in questo caso abbiamo a che fare con la cosiddetta biometria (impronte digitali o palmari, impronte vocali, scansioni dell’iride o della retina)
L’autenticazione forte (strong authentication) è per definizione il processo di autenticazione che esige l’utilizzo congiunto di almeno due dei fattori sopra elencati. Quando si utilizzeranno due fattori si parlerà tecnicamente di two-factor authentication, spesso abbreviata in 2FA.
L’autenticazione di tipo a) è probabilmente la forma più diffusa per l’accesso ai sistemi informatici. In sostanza l’utente si presenta con un proprio identificativo (fase di identificazione) e si autentica con una password (o un PIN). Purtroppo il fattore “qualcosa che conosci” ha varie controindicazioni: la password può essere dimenticata oppure può essere talmente complessa che l’utente viene spinto a scriverla da qualche parte ed in quel modo qualcun altro può farne un uso illecito. Anche il fattore b) (qualcosa che si possiede) ha le proprie controindicazioni in quanto un qualsiasi oggetto può essere smarrito e quindi trovato da chiunque voglia farne un utilizzo improprio. La biometria è forse, allo stato attuale, la forma più sicura di autenticazione per un individuo anche se anch’essa non è esente né da implicazioni in ambito “privacy” né da problematiche di tipo tecnico (“false reject rate” FRR quando non si autentica un individuo che ha in realtà il diritto di accedere e “false accept rate” FAR quando si autentica un individuo che non ha il diritto di accedere). In taluni casi un altro punto che può essere a sfavore dell’autenticazione biometrica è il costo dei dispositivi necessari alla realizzazione del processo. L’autenticazione biometrica può essere a sua volta suddivisa in biologica (esempio: scansione dell’iride) o comportamentale (esempio: la voce o la velocità di digitazione sulla tastiera o addirittura il modo in cui l’utente digita sulla tastiera che include sia la velocità che la pressione).
Per quanto riguarda l’autenticazione di tipo b), basata sul possesso di qualcosa, oltre le smartcard sono degni di nota, in quanto molto diffusi, i meccanismi che permettono di disporre di OTP (One Time Password). Tali dispositivi (hardware o software) vengono detti comunemente token. Il vantaggio dei token è quello di generare, e quindi mettere a disposizione dell’utente, una password variabile nel tempo. Esistono diverse tipologie di algoritmi che permettono ai token di generare password che poi verranno accettate dal sistema di autenticazione. Fra i più comuni si possono citare gli algoritmi basati sulla sincronizzazione temporale (che generano password con una validità particolarmente breve, ad esempio un minuto).
Altri fattori di autenticazione degni di nota sono quelli denominati OOB (Out of Band) token che sfruttano un canale alternativo, come ad esempio una telefonata o un messaggio SMS, per l’invio di informazioni di autenticazione, in sostanza la OTP viene inviata su quel canale alternativo (OOB), ricevuta dall’utente che provvede ad inserirla tramite la tastiera solitamente in aggiunta ad una semplice password, realizzando in tal modo un’autenticazione a due fattori.
Infine si può accennare alla “contextual authentication”, ossia l’autenticazione contestuale che – oltre ai fattori già descritti – prende in esame anche altri elementi come input del processo di autenticazione quali, ad esempio, la posizione geografica dell’utente, l’endpoint da cui sta cercando di autenticarsi, l’orario in cui sta tentando di accedere, ecc. Il tutto per contestualizzare il tentativo di accesso e verificare se l’utente è realmente chi afferma di essere oppure ci si trova di fronte ad un tentativo fraudolento.
I think we did a damn fine job of raising you and your brother. Trying to shield your offspring from the realities and vulgarities of the real world is just a waste of time and energy. Plus, we really wanted to see some of those �#18;R&28222; rated movies and it was cheaper to bring you along than to get a baby sitter.