Informatica e Ingegneria Online

Vantaggi e svantaggi dei metodi di autenticazione

Scritto il

Vantaggi e svantaggi dei metodi di autenticazione

Metodi di autenticazione

L’identità di un soggetto durante un tentativo di autenticazione può essere controllata principalmente in tre diversi modi:

  1. Quello che si sa: All’utente è associato un username ed una password. Solitamente l’username è una stringa contenente un nome, un indirizzo email, oppure un nickname. La password invece è una stringa, che generalmente non ha un particolare significato. E’come una chiave da inserire, per dimostrare di conoscerla, ed essere veramente chi si dichiara. La password dovrebbe essere sufficientemente complessa per non essere indovinata, e non troppo difficile da non ricordare.
  2. Quello che si ha: un certificato digitale o una smart card. Un certificato digitale è un documento ‘elettronico’, che stabilisce le proprie credenziali sul web. Una smart card invece è una carta di plastica, come una vera e propria carta di credito, e necessita di un architettura hardware esterna per poter essere letta. Contiene un micro-chip dove sono salvate varie informazioni sul possessore, e talvolta queste informazioni sono proprio sotto forma di certificato digitale.
  3. Quello che si è: si utilizzano dati biometrici personali per identificare l’utente. Questi possono essere riconoscimento della voce, impronte digitali, dimensioni delle dita e della mano, scansione della retina ecc. In ogni caso sono necessari complessi dispositivi fisici per effettuare i riconoscimenti, il che porta quest’ultimo tipo ad essere ancora poco in uso.

Vantaggi e svantaggi dei metodi di autenticazione

Vantaggi e svantaggi dei metodi di autenticazione

Nelle tre metodologie viste sopra, ognuna ha dei particolari vantaggi e svantaggi, in termini di efficienza, sicurezza, garanzia, e costi di realizzazione.

La più semplice delle tre è l’autenticazione tramite password. La sicurezza di questo metodo dipende molto anche dalla realtà in cui si deve operare.
Se un username ed una password di un contatto in una chat vengono intercettati, il problema pur non essendo banale, non è relativamente grave. L’intruso può impersonificare l’utente mandando qualche messaggio o qualche mail, o scorrere la lista di contatti. Ben più grave situazione invece, se le credenziali di un conto bancario di un utente cadono in mani sbagliate. Questo metodo ha però anche altre problematiche sia per gli utenti, sia per i fornitori dei servizi richiesti.

I servizi disponibili e richiesti dalla stragrande maggioranza degli utenti sono molteplici, è quindi necessario ricordarsi molte differenti password. Questo può portare ad avere sempre la medesima password per più servizi, o sceglierne di troppo semplici, il che facilità l’intercettazione. Per alcuni, le continua richieste di autenticazione sono considerate scomode, ed un ostacolo alla navigazione. Gli utenti tendono anche a dimenticare le password, contattando l’assistenza o se possibile procedendo direttamente alla creazione di un nuova identità. Questo comporta notevoli costi per gli i gestori degli applicativi.

Inoltre vari servizi richiedono che la password venga cambiata dopo un determinato periodo, oltre il quale viene considerata scaduta. Questo per aumentare ulteriormente la sicurezza.
Per questi motivi, talvolta l’utente incarica terze parti per aiutarlo nel processo di autenticazione. Questi possono essere software locali o remoti.
Localmente, la gestione delle password può essere demandata al browser web dell’utente. Questi può ricordare tutte le varie password dei vari siti visitati, semplificando la vita all’utente. Tuttavia non viene risolto il problema se l’utente si collega ad internet da postazioni diverse, come una biblioteca o un internet café.
In remoto, la gestione delle password può essere assegnata ad un proxy server su internet, eventualmente gestito dallo stesso internet provider o da un servizio di rete specifico. Il meccanismo è simile al precedente, solo che in questo caso l’utente si autentica una sola volta al proxy, il quale dopo l’autenticazione utente, si preoccupa di inserire automaticamente le password quando richieste. Questa tecnica è possibile, tuttavia di non semplice implementazione e uso su scala mondiale.

Un ulteriore soluzione consiste nell’avere un unico servizio di autenticazione fidato per più applicazioni, che utilizza un particolare protocollo sicuro da lui scelto. Si crea quindi una sottorete di fiducia, dove i servizi sono direttamente collegati all’unico dispositivo di autenticazione. Una volta che l’utente si è autenticato, può accedere alle applicazioni di quella sottorete. Questa è l’idea che sta alla base dell’autenticazione centralizzata, e del server CAS. Ovviamente il dispositivo di autenticazione può anche essere configurato per autorizzare o meno un utente ad accedere ad un servizio, ma come già detto questo è un altro problema. Questa tecnica è una delle più adottate, nelle aziende ma soprattutto dalle Università, in quanto si vuole dare ai propri studenti la possibilità di un’unica autenticazione centrale, per poi poter eseguire varie operazioni, come l’iscrizione agli esami, iscrizioni ai corsi, servizio mail ecc.

Al crescere dell’importanza di verificare con certezza l’identità di un utente, username e password non offrono più un metodo sicuro. Un altro aspetto, per certi versi ancora più importante della sicurezza dell’identità, è la sicurezza dell’autenticità di un messaggio inviato. Quando si ha a che fare con documenti legali, ordini e transazioni aziendali e bancarie, si deve trovare un modo per poter verificare che il documento elettronico sia autentico, oltre che assicurarsi che sia stato spedito veramente dal mittente dichiarato. E’ ovvio che un autenticazione con semplice username e password e successivo invio del documento, non offre abbastanza sicurezza e autenticità richiesti per questo ambiente.
Con la nascita dei certificati digitali, delle smart card, dei token USB, e dell’idea di introdurre la firma digitale, entrambi i problemi possono essere risolti. Tuttavia la sicurezza e l’autenticità non possono essere garantiti con assoluta certezza, perché se un utente smarrisce la propria smart card, e magari ha all’interno il codice PIN 15 per utilizzarla, si è di nuovo al punto di partenza. Questa vulnerabilità però non è collegata ad una falla nella struttura informatica portante, ma solo ad un errore umano. L’uso di certificati digitali e di smart card è in continua espansione, e probabilmente saranno il metodo di autenticazione predominante nei prossimi anni.

Il terzo modo di autenticazione, ovvero quello per biometria, offre al giorno d’oggi la maggior sicurezza possibile. I lettori di impronte digitali stanno uscendo di serie su molti modelli di computer portatili, e si può immaginare che in futuro non serviranno solo per il login locale del computer, ma anche per un autenticazione biometrica in rete. Tuttavia dato il costo ancora molto elevato di alcuni strumenti necessari al riconoscimento personale, basti pensare ad un apparecchio di scansione della retina, questa metodologia non è ancora del tutto diffusa, e riservata a pochi utenti.

Le ultime due tecniche viste vengono chiamate tecniche di autenticazione forte. L’autenticazione forte è divenuta fondamentale con la comparsa di attacchi alla rete e furti di dati sempre più sofisticati, la necessità di aprire le reti aziendali per includere fornitori, clienti e partner commerciali e l’inasprimento e la capillarità delle normative. Nonostante ciò, le spese e la complessità delle soluzioni di autenticazione forte spesso ne scoraggiano l’adozione.

I problemi di sicurezza continuano a minare la fiducia nelle attività online. Uno dei più gravi e sentiti è il controllo dell’identità. Se gli utenti e i dispositivi che accedono alla rete non vengono identificati adeguatamente, le imprese sono esposte al rischio di frodi, phishing, furto di identità, spoofing di IP.
Il phishing è una nuova subdola forma di social engineering, nella quale i criminali si presentano come entità legittime per ottenere da ignari consumatori informazioni personali come numeri di carta di credito, password e numeri di previdenza sociale. Di norma, questi soggetti utilizzano siti Web fraudolenti o indirizzi e-mail di aziende ben note per inviare messaggi di spam che ingannano il destinatario e lo inducono a fornire dati confidenziali. Le informazioni personali così acquisite vengono poi usate per frodi con carte di credito, furti di identità e altri reati.

La sicurezza dei metodi di autenticazione, si può quindi riassumere:

  • Debolissima: Username/password trasferite in chiaro (da vietare)
  • Debole: Username/password su canale criptato
  • Media: Protocollo Challenge/response con Secure ID
  • Forte: Certificati digitali/token USB/smartcard + PIN

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario