di Pierluigi Paganini*
In questo articolo facciamo una breve introduzione ai processi di autenticazione, distinguendo tra autenticazione a singolo fattore e autenticazione a doppio fattore e vedendo la differenza tra autenticazione e autorizzazione.
Cos’è l’autenticazione
Per sapere cos’è l’autenticazione e in che modo si differenzia dall’identificazione, vi rimandiamo a questo nostro articolo in cui affrontiamo in maniera approfondito l’argomento.
Ogni giorno utilizziamo un numero considerevole di servizi web la maggior parte dei quali richiede ai propri utenti di avviare processi di autenticazione per validarne l’identità.
Va innanzitutto specificato che i processi di autenticazione non sono una prerogativa dell’essere umano. È prassi comune, infatti, che due entità nel cyber spazio si autentichino l’un l’altra attraverso processi di autenticazione più o meno complessi.
Quali sono i fattori di autenticazione
Essenzialmente esistono i seguenti tre fattori di autenticazione, che possono essere usati nei processi di verifica dell’identità di un utente di un servizio:
1. qualcosa che l’utente conosce (ad esempio una password o un codice PIN)
2. qualcosa che l’utente ha (ad esempio, una carta d’identità, una smart card, un token su dispositivo mobile, un hardware dedicato oppure un software)
3. qualcosa che l’utente è (ad esempio un parametro biometrico come l’impronta digitale oppure la morfologia facciale)
La combinazione dei fattori sopra comprendono la definizione di un processo di autenticazione.
Per maggiori informazioni potete leggere questo nostro articolo, in cui approfondiamo l’argomento.
Autorizzazione vs Autenticazione
Un processo di autorizzazione è cosa diversa da uno di autenticazione.
L’autenticazione è il processo di verifica che “l’utente sia chi dice di essere”, l’autorizzazione è il processo di verifica di quanto “è permesso all’utente di fare”. L’autorizzazione presuppone quindi l’autenticazione.
Ad esempio, un cliente che mostra le proprie credenziali di identificazione a un ATM bancario chiede di essere autenticato ad agire per conto del titolare del conto. Un client la cui richiesta di autenticazione viene approvata diventa autorizzato per l’accesso ai conti del solo utente specifico, e non a quello di altri.
Processi di autenticazione a singolo fattore
Il metodo più semplice di autenticazione è quello a singolo fattore, ovvero per l’identificazione dell’utente è richiesta la verifica di uno solo dei fattori sopra elencati, ad esempio della coppia username e password (qualcosa che l’utente conosce).
Proprio la scelta delle password è argomento frequente di discussione perché gli utenti tendono a usare password semplici (nomi dei figli o date di nascita) e quindi facili da individuare.
Processi di autenticazione a doppio fattore
Per aumentare la sicurezza in fase di autenticazione si introduce quindi un secondo fattore tra i tre menzionati in precedenza. Il numero di fattori richiesti in fase di autenticazione ne identifica la tipologia.
Ad esempio, parleremo di doppio fattore di autenticazione se per l’autenticazione di un utente sarà richiesto l’uso di una smartcard (qualcosa che l’utente ha) e il PIN (qualcosa che l’utente conosce).
In maniera inconsapevole, quotidianamente usiamo processi di autenticazione a due fattori. Pensiamo, ad esempio, all’accesso al servizio di on-line banking, per il quale spesso forniamo un codice temporaneo generato a mezzo di un token.
Autenticazione a doppio fattore: pro e contro
L’adozione di un processo di autenticazione a due fattori incrementa la sicurezza degli accessi, ma non garantisce una protezione totale all’utente da crimini informatici come il furto di identità.
Attacchi basati su malware, attacchi di tipo Man-In-The-Middle e metodiche come il Man-In-The-Browser consentono di bypassare tale meccanismo di sicurezza.
Qualora il PC dell’utente dal quale si cerca di autenticarsi sia compromesso dalla presenza di un malware è possibile che il codice malevolo operi in nome dell’ignaro utente rubandone credenziali e codici autorizzativi.
Altro elemento da considerare per implementazione di un processo di autenticazione a due fattori è il costo, superiore rispetto a un’autenticazione semplice per la presenza dell’infrastruttura per la gestione del token e per i costi dei token stessi.
A questo punto, non resta che proteggere i nostri account online usando i processi di autenticazione più idonei alle nostre esigenze. Il mio personale consiglio è quello di attivare il doppio fattore di autenticazione se implementato dal servizio cui accediamo (Gmail, iCloud etc)
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef