Autenticazione

processo che conferma o meno la legittimità di un accesso
(Reindirizzamento da Sistema di autenticazione)
Disambiguazione – Se stai cercando il significato nell'ambito del diritto, vedi Autenticazione (diritto).

L'autenticazione è, in termini generali, l'atto o il processo di confermare la verità di una informazione sostenuto vero da un'entità. Invece l'identificazione è l'atto o il processo di confermare l'identità di una persona o cosa ed avviene attraverso l'autenticazione.[1]

Descrizione

modifica

Per esempio confermando l'identità di una persona attraverso la convalida dei suoi documenti di identità, verificando l'autenticità di un sito web con un certificato digitale, determinando l'età di un manufatto dalla datazione al carbonio, o di garantire che un prodotto è quello indicato dall'etichetta d'imballaggio. In altre parole, l'autenticazione comporta spesso verificare la validità di almeno una forma di identificazione.

Si definisce in informatica il processo tramite il quale un sistema informatico, un computer, un software o un utente verifica la corretta, o almeno presunta, identità di un altro computer, software o utente che vuole comunicare attraverso una connessione, autorizzandolo ad usufruire dei relativi servizi associati.[2] È il sistema che verifica, effettivamente, che un individuo è chi sostiene di essere.

L'autenticazione è diversa dall'identificazione (la determinazione che un individuo sia conosciuto o meno dal sistema) e dall'autorizzazione (il conferimento ad un utente del diritto ad accedere a specifiche risorse del sistema, sulla base della sua identità).[3]

Funzionamento

modifica

Durante una connessione/comunicazione in Internet o l'accesso ad alcuni servizi messi a disposizione dal Web è importante per l'utente definire in modo univoco la propria identità, essere riconosciuto e per questo ottenere l'accesso ai propri servizi. Allo stesso modo è fondamentale anche conoscere l'identità di chi si trova dall'altra parte della "linea" della comunicazione ed essere certi che l'interlocutore con il quale si stanno scambiando delle informazioni sia veramente chi dice di essere e non un impostore.

Oggi vengono utilizzati nuovi metodi di autenticazione che vanno a sostituire le classiche password che possono risultare scadenti come sicurezza. La tradizionale autenticazione online si affida a qualcosa che si conosce, cioè una password. Questo, però, non è un metodo infallibile, infatti: una password è un dato segreto che va condiviso con chi verifica l'identità. Molto frequentemente non si ha modo di accertare che la propria password venga conservata in modo sicuro e può essere facile preda di chiunque stia osservandone l'inserimento o usando un software come un keylogger.[4]

I metodi tramite i quali un essere umano può autenticarsi sono divisi in tre classi, in base a:[5]

  • qualcosa che so (es. password, frase chiave o numero di identificazione personale (PIN)) si può riferire alla password o ad un'autenticazione pattern-based, per esempio proposta nei sistemi operativi o un'autenticazione basata sul codice PIN, come per i bancomat.
 
Visualizzazione di una procedura di autenticazione basata su protocollo SSH da parte di un utente su un sistema FreeBSD
  • qualcosa che ho (es. tesserino identificativo) è molto spesso un token installato su un dispositivo mobile che si possiede. Esistono due tipologie principali di token mobile:
    1. Token che si usano online (challenge/response based)
    2. Token che si usano offline (time, sequence o OTP based).
  • qualcosa che sono (es. impronte digitali, impronta vocale, modello retinico, sequenza del DNA, calligrafia o altri identificatori biometrici) (vedi sistema di riconoscimento biometrico).

La scelta dei diversi metodi di autenticazione è condizionata dai diversi fattori tra cui l'usabilità, l'importanza delle informazioni da proteggere ed il costo del sistema. Spesso si assiste anche ad una mutua autenticazione in cui ciascuna parte in causa deve autenticarsi all'altra.

Inoltre spesso, al posto del singolo metodo, viene usata una combinazione di metodi, i.e. un tesserino identificativo e un PIN che ne aumenta la sicurezza. Questa prende il nome di strong customer authentication, come nel caso della autenticazione a due fattori.

Contenuto delle informazioni

modifica

L'autenticazione di informazioni può porre problemi particolari con la comunicazione elettronica, come ad esempio la vulnerabilità agli attacchi, per cui un terzo potrebbe intercettare il flusso di comunicazione, si mette tra le parti (attacco man in the middle), per intercettare informazioni provenienti da entrambe le parti. Possono essere richiesti fattori di identità extra per autenticare l'identità di ciascuna delle parti.

L'imitare lo stile di un autore famoso, può comportare una falsificazione letteraria. Se un manoscritto originale, testo dattiloscritto, o la registrazione è disponibile, allora il mezzo stesso (o il suo confezionamento - qualsiasi cosa, da una scatola a e-mail header) può aiutare a dimostrare o confutare l'autenticità del documento.

Tuttavia, testo, audio e video, possono essere copiati in nuovi media, possibilmente lasciando solo il contenuto informativo in sé da utilizzare per l'autenticazione.

Vari sistemi sono stati inventati per consentire agli autori di fornire un mezzo, ai lettori, per autenticare in modo affidabile che un dato messaggio originato o trasmesso da loro. Queste comprendono fattori di autenticazione, come:

  • Una difficoltà di riprodurre un artefatto fisico, per esempio sigillo, firma, carta speciale, o impronte digitali.
  • Un segreto condiviso, come una frase, nel contenuto del messaggio.
  • Una firma elettronica; infrastruttura a chiave pubblica viene spesso utilizzata per garantire crittograficamente che un messaggio è stato firmato dal titolare di una particolare chiave privata.
  • Il problema opposto è il rilevamento di plagio, in cui le informazioni da un autore diverso viene spacciata per il proprio lavoro di una persona. Una tecnica comune per dimostrare plagio è la scoperta di un'altra copia dello stesso (o molto simile) testo, che viene attribuito a qualcun altro. In alcuni casi, l'eccessiva alta qualità o una mancata corrispondenza di stile, possono far sorgere il sospetto di plagio.

Metodi e tipologie

modifica

Login

  Lo stesso argomento in dettaglio: Login.
 
Login su Linux.

Il problema dell'autorizzazione è spesso identificato con quello dell'autenticazione: un protocollo di comunicazione di sicurezza standard, ad esempio, si basa su questo presupposto. Vi sono però casi in cui questi due problemi vengono risolti con strategie differenti.

Un esempio di tutti i giorni è la comune procedura di autenticazione che conosciamo come login, presente ad esempio in forum, accesso a servizi di home banking e e-commerce, reti Wi-Fi, telefoni cellulari ecc. Un sistema di elaborazione, progettato per essere usato soltanto da utenti autorizzati, deve essere in grado di rilevare ed escludere i soggetti non autorizzati. L'accesso ad esso, dunque, viene garantito solo dopo aver eseguito con successo una procedura di autenticazione, di solito attraverso una username e/o una password personale.

Chiave hardware

 
Smart card

Un contenitore di login/password è la chiave hardware.

Questi è un dispositivo che contiene una memoria interna dove è possibile memorizzare password, codici, firme digitali. La sicurezza del contenitore si basa sull'affidabilità del proprietario, in quanto è logico che se quest'ultimo lascia incustodita la propria chiave, la sicurezza può essere compromessa. Un esempio di chiave hardware sono le smart card. Alcuni esempi comuni di processi d'autenticazione coinvolti in un controllo d'accesso sono i seguenti:

Esiste un altro tipo di chiave che permette l'autenticazione hardware sui siti abilitati, su sistemi server e su prodotti software personalizzati. Si basa su un sistema di scambio chiavi con un server che identifica la chiave e fornisce una password diversa ad ogni accesso rendendo l'utente identificabile in maniera univoca. In caso di perdita è possibile richiedere la disattivazione sul server stesso così da evitare che possa essere utilizzata da altri. Questo sistema viene spesso preferito alla classica password da venti caratteri in quanto l'utente tende a non ricordarsela e la scrive in fogliettini rendendo inutile la sicurezza creata dalla password stessa (problemi di base della sicurezza non dettati dalla tecnologia, ma dal fattore umano). Spesso viene usata con OpenSSH, Phpmyadmin, Wordpress e altri software.[6]

I Token offline

 
Esempio di Token

I Token funzionano out-of-band, nel senso che non hanno una connessione diretta con il richiedente l'autenticazione, solitamente attraverso una chiave segreta condivisa.

  • I token time-based sono alimentati da una batteria e fanno hashing con il numero corrente dei secondi trascorsi dal 1º gennaio 1969 e mostrano sul display una parte del risultato, solitamente un numero a sei cifre. L'hashing utilizza un segreto condiviso tra il soggetto che esegue l'autenticazione e il token. Ciò permette al primo di calcolare il valore presente sul display ed essere certo che corrisponda a quello inserito.
  • Il token sequence-based si basa sul concetto di un elenco prestabilito di numeri, come un pad one-time. Anche se le comunicazioni fossero spiate, non sarebbe possibile conoscere il prossimo numero valido della sequenza. I malintenzionati potrebbero spiare solo il numero attuale, ma ciò potrebbe non permettere loro di continuare a danneggiarvi in futuro.
  • I pad on-demand, on-time non sono violabili se usati correttamente e la loro applicazione evoluta prevede che un codice di autenticazione sia trasmesso all'utente o attraverso un SMS oppure con una telefonata in automatico. Come nel caso degli altri token offline, possono essere spiati, ma hanno una bassa barriera d'ingresso.[4]

Sistemi biometrici

 
Impronta digitale

Il sistema di riconoscimento biometrico è uno strumento di autenticazione (applicato alle persone) che si basa sulle caratteristiche fisiche uniche dell'uomo. I metodi più utilizzati sono: impronta digitale, impronta vocale, vene della mano e retina dell'occhio.

In questi casi i problemi non mancano, infatti le caratteristiche fisiche sono instabili e variabili (ferita sulla mano, voce distorta per raffreddore, pupille dilatate ecc.). Se si configura uno scanner d'impronte digitali alla sua massima risoluzione, si può non riuscire nell'autentificazione se le mani sono fredde oppure se sono presenti vesciche. Il riconoscimento dell'iride e la stampa del viso si sono dimostrati troppo facili da falsificare. Sono interessanti per "giocarci" (alcuni dispositivi Android permettono lo sblocco facciale), ma sono troppo inaffidabili per farvi affidamento nel supportare l'autenticazione. Rimangono le impronte digitali anche se pure loro sono state falsificate.[4] È stato dimostrato alla conferenza del "Chaos Computer Club" che è semplice copiare le impronte digitali utilizzando anche poche fotografie (sono state copiate le impronte digitali del ministro della difesa tedesco)[7]. Inoltre, a differenza di una password, se la scansione della retina o delle impronte digitali è stata rubata, non può certo essere modificata. La probabilità di rubare la tua password o il tuo token in aggiunta alla probabilità che qualcuno trafughi un'impronta digitale adatta è infinitamente piccola. Come nella maggior parte dei casi, dipende dalla sicurezza dell'applicazione.

Captcha

 
Esempio di Captcha

Il CAPTCHA viene utilizzato nell'informatica ed è un test fatto di una o più domande e risposte per autenticare che l'utente sia un umano (e non un computer o un bot). Un test CAPTCHA tipicamente utilizzato è costituito da una sequenza distorta e/o offuscata e si richiede all'utente di scrivere quali siano le lettere o i numeri che la compongono.

Metodi crittografici Nel contesto dell'ICT, sono stati sviluppati dei metodi crittografici simmetrici e asimmetrici (vedi MAC e firma digitale), utilizzati per l'autenticazione di documenti digitali scambiati e che, attualmente, non sono raggirabili se (e solo se) la chiave originaria utilizzata non è stata compromessa. Questi ottimi metodi sono, almeno per ora, considerati inattaccabili, ma non c'è, però, la certezza che essi rimangano "sicuri" per sempre. Imprevisti sviluppi matematici futuri potrebbero infatti rendere vulnerabile l'intera generazione moderna di algoritmi di cifratura, mettendo in seria discussione tutto ciò che è stato autenticato in passato. In particolare, un contratto digitalmente firmato non avrebbe più alcun valore nel caso in cui il sistema crittografico di base fosse stato 'bucato'.

 
Cifrario del XVII secolo

La crittografia a chiave asimmetrica si basa su l'utilizzo di due chiavi, una privata e l'altra pubblica. L'utente, dopo aver ottenuto l'autorizzazione da parte del Registration Authority (RA)[8] che verifica e registra l'identità del richiedente[9], crea le due chiavi e consegna quella pubblica al Certificate authority (o Certification Authority CA, ente che dichiara che la chiave pubblica è effettivamente associata a quell'utente) che genera il certificato, lo salva nel certificate directory e lo invia all'utente stesso. Quest'ultimo adesso ha la possibilità di utilizzare le chiavi anche per l'autenticazione.

Esempio: considerati due utenti, Alice e Bob, Alice prende il messaggio in chiaro e (dopo averlo autenticato con la sua chiave privata) lo invia a Bob. Quest'ultimo effettua adesso al fase di autenticazione utilizzando la chiave pubblica (di Alice). Quindi basta che Bob o il server abbiano la chiave pubblica per autenticare Alice che è in possesso di quella privata. L'autenticazione può essere anche criptata utilizzando sempre la crittografia a chiave asimmetrica: Inizialmente il messaggio è in chiaro. Alice invia a Bob il messaggio autenticato con la chiave privata (sua) e poi cifrato utilizzando la chiave pubblica (di Bob). Bob riceve il messaggio e lo decifra utilizzando la (sua) chiave privata e verifica l'autenticazione del messaggio in chiaro attraverso la chiave pubblica (di Alice).

Protocollo 802.1x L'accesso a sistemi informatici o reti aziendali protette (Intranet) da parte di utenti avviene tipicamente con protocolli di tipo client-server quali i protocolli AAA (es. RADIUS, DIAMETER, Kerberos) in una comunicazione tra il client e il server di autenticazione sfruttando una delle modalità/tecniche di autenticazione sopra descritte.

Per proteggere l'accesso alla rete Ethernet, si usa il protocollo IEEE 802.1x pensato per consentire il controllo dell'accesso alla rete a livello di porta ed è divenuto il framework di autenticazione delle wireless LAN. Viene applicato a livello 2 di rete, infatti viene implementato negli switch. La sua rapida diffusione è dipesa, in larga parte, dalla disponibilità di standard già consolidati, principalmente EAP (Extensible Authentication Protocol). La sicurezza “port-based” permette ai dispositivi di rete di potersi collegare alla rete soltanto dopo la fase di autenticazione. Sono implementate sia nelle reti wireless che wired (cablate).

NAC Il Network Access Control è una tecnica utilizzata per la sicurezza che controlla l'accesso alla rete ed applica policy di sicurezza endpoint. Il NAC controlla la disposizione di accesso alla rete da parte gli endpoint, valuta il loro stato di conformità e offre funzionalità automatiche di rimedio. Questi dispositivi, similmente al protocollo 802.1x, richiede, prima di permettere l'accesso alla rete, di autenticarsi ed effettua, in più, dei controlli sui dispositivi stessi per mitigare la possibilità di attacchi, anche gli zero-day (per esempio controlla la presenza di antivirus, patch, software, ecc).[10]

Virtual Private Network (VPN)

 
Schema di una VPN

La VPN è una combinazione di hardware e software che viene utilizzata per mettere in comunicazione sicura soggetti che utilizzano infrastrutture di trasporto pubbliche e condivise (quindi non fidate) come internet. Per prima cosa bisogna autenticare i dati che si vogliono trasmettere, al firewall che sta tra i due soggetti. Questo crea una forma di servizio di autenticazione interna rendendo più sicura la rete virtuale privata.

Un esempio di implementazione del VPN è l'OpenVPN, un software open source che permette agli host di autenticarsi l'uno con l'altro per mezzo di chiavi private condivise, certificati digitali o credenziali utente/password. Altro metodo è l'uso di protocolli di tunneling come per esempio l'IPsec, creato per ottenere connessioni sicure su reti IP. La sicurezza viene garantita tramite funzionalità di autenticazione, cifratura e integrità dei dati dei pacchetti IP.

Il VPN viene usato anche con il Cloud detto Virtual Private Cloud. In questo caso alcuni o tutti i servizi, solitamente di una azienda (es. Amazon, Google App Engine, ecc), si trovano presso un cloud provider dove viene creato uno spazio in cui viene ospitata l'infrastruttura virtuale gestita dal fornitore ed è accessibile a livello globale. L'accesso ai propri dati avviene utilizzando VPN dedicate a ciascun cliente, comunicazioni crittografate e l'autenticazione con inserimento di credenziali.

Cookie

 
Esempio di cookie

I cookie sono dei token che vengono utilizzati nella comunicazione web (HTTP cookie) tra client e server per tenere in piedi la sessione in quanto HTTP è un protocollo stateless. Quando un utente accede per la prima volta ad un sito, quest'ultimo capisce che è un nuovo utente perché nel pacchetto di richiesta ricevuto non è presente il cookie. Allora il server ne genera uno in maniera univoca e non predicibile (che non può essere previsto) e lo salva nel database e lo inserisce nel pacchetto di risposta nel set-cookie. Il browser che ha ricevuto questo pacchetto, verifica la presenza del cookie e lo salva nel file cookie da lui gestito. Da ora in poi, in tutti i pacchetti di richiesta e risposta, verrà utilizzato questo cookie per autenticare la sessione e il server può così autenticare il browser e quindi capire chi è, se è già stato in questo sito, cosa ha fatto, ecc. Esistono diversi tipi di cookie:

  • Authentication cookie
  • Tracking cookie

Il primo tipo è quello utilizzato per autenticare l'accesso ad una pagina o applicazione web senza reinserire le credenziali ogni volta che si vuole accedere. La durata è spesso molto limitata del cookie (scadenza breve), allora si ha la possibilità di utilizzare il servizio "ricordami" che genera un authentication cookie con scadenza più lunga. Questo tipo di cookie viene anche utilizzato nell'e-commerce per evitare di inserire le credenziali usate per l'acquisto online (evita di inserire nome utente, password, numero carta di credito, ecc).

I tracking cookie sono quelli che servono per tenere traccia dei siti visitati dall'utente. Anch'esso viene usato nell'e-commerce solitamente per ricordare quali sono i prodotti che l'utente vuole acquistare (creando così il carrello). Abbinato agli authentication cookie diventa possibile effettuare più acquisti contemporaneamente con un solo click (le credenziali non vengono inserite perché viene utilizzato l'authentication cookie).

Attenzione, gli authentication cookie possono essere rubati da chi sniffa il flusso di pacchetti se la connessione non è di tipo HTTPs, ma semplicemente HTTP o rubati tramite attacchi XSS (Cross-site scripting). Così facendo, l'attacker, può falsificare la sua identità utilizzando questi cookies e ingannando il server con uno spoof identify (avrà così accesso alla sessione della vittima).

Controllo degli accessi Un uso normale "di autenticazione e autorizzazione" è il controllo degli accessi. Un computer system che dovrebbe essere usato solo da persone autorizzate per rilevare ed escludere coloro che non sono autorizzati. L'accesso ad esso è quindi di solito controllato insistendo su una procedura di autenticazione per stabilire con un certo grado di fiducia l'identità dell'utente, la concessione di privilegi stabiliti per tale identità. Una tale procedura comporta l'utilizzo di strato 8 (layer), che permette agli amministratori IT di identificare gli utenti, controllare l'attività Internet degli utenti della rete, impostare le politiche sulla base degli utenti e generare report per username. Esempi comuni di controllo degli accessi che coinvolgono l'autenticazione includono:

  • Utilizzare CAPTCHA come mezzo per verificare se l'utente è un essere umano o un computer
  • Utilizzare One-Time Password (OTP), ricevendo su un dispositivo abilitato come il telefono mobile, per esempio, una password di autenticazione / PIN
  • Accesso in un computer
  • Usare una conferma e-mail per verificare la proprietà di un indirizzo e-mail
  • L'utilizzo di un Internet banking system
  • Ritirare contanti da un bancomat

In alcuni casi, la facilità di accesso è bilanciato dalla precisione dei controlli di accesso. Ad esempio, la carta di credito di rete non richiede un numero di identificazione personale per l'autenticazione dell'identità rivendicata; e una piccola operazione di solito non richiede nemmeno una firma della persona autenticato per la prova di autorizzazione della transazione. La sicurezza del sistema è gestito da limitare la distribuzione dei numeri di carta di credito, e dalla minaccia di una punizione per frode. Gli esperti di sicurezza sostengono che è impossibile dimostrare l'identità di un utente di un computer con assoluta certezza. È solo possibile applicare uno o più test che, se approvati, sono stati precedentemente dichiarati sufficienti per procedere. Il problema è quello di determinare quali test sono sufficienti, e molti sono inadeguati. Qualsiasi dato può essere falsificato un modo o nell'altro, con vari gradi di difficoltà. Gli esperti di sicurezza informatica sanno anche riconoscere che, nonostante grandi sforzi, come un business, ricerca e comunità della rete, ancora non abbiamo una conoscenza sicura dei requisiti per l'autenticazione, in una serie di circostanze. In mancanza di questa comprensione è un ostacolo significativo per identificare i metodi ottimali di autenticazione. principali domande sono:

  • Che cosa è l'autenticazione per...?
  • Chi trae vantaggio dall'autenticazione / chi svantaggiato da errori di autenticazione?
  • Quali svantaggi può generare l'errore di autenticazione?
  • L'autenticazione in realtà è efficace?

Sicurezza fisica

 
Telecamere di sorveglianza

La maggior parte dei controlli logici (log management, monitoring, hardening, ecc) perdono la loro efficacia se non viene effettuato il controllo dal punto di vista fisico. Per garantire maggiore sicurezza fisica (vedi: Sicurezza informatica), e quindi anche dei dati o flusso di dati che esso trasporta o contiene, bisogna impostare una sorta di accesso fisico ai locali aziendali o sale macchine, attraverso solo autenticazione in base ai privilegi. L'autenticazione può avvenire tramite badge, chiavi, sistemi biometrici, ecc. Imballaggio

 
Codice a barra e RFID

Imballaggio e l'etichettatura possono essere progettate per contribuire a ridurre i rischi di contraffazione dei beni di consumo o il furto e rivendita di prodotti. Le costruzioni di alcuni pacchetti sono più difficili da copiare. Le merci contraffatte, le vendite non autorizzate, sostituzione materiali e l'alterazione possono essere diminuiti con queste tecnologie anti-contraffazione. Pacchetti possono includere sigilli di autenticazione e utilizzare le stampe di sicurezza per contribuire ad indicare che il contenuto del pacchetto non è contraffatto; anche questi sono soggetti a contraffazione. I pacchetti possono anche includere dispositivi antifurto, come dye- pack, RFID, o sorveglianza elettronica degli articoli che possono essere attivate o rilevati dai dispositivi ai punti di uscita e che richiedono strumenti specializzati per disattivare. Tecnologie anti-contraffazione che possono essere utilizzati con l'imballaggio includono:

  • Taggant fingerprinting - materiali microscopici codificati in modo univoco che vengono verificati da un database
  • Ologrammi - grafica stampata su sigilli, patch, fogli o etichette utilizzate per una verifica visiva
  • Micro-stampa - autenticazione seconda linea spesso utilizzato sulle valute
  • codici a barre serializzati
  • stampa UV - segni visibili solo ai raggi UV
  • chip RFID

Autenticazione video A volte è necessario per autenticare la veridicità delle registrazioni video utilizzate come prove nei procedimenti giudiziari. I record corretti della catena-di-custodia e degli impianti di stoccaggio sicuri, possono contribuire a garantire l'ammissibilità delle registrazioni digitali o analogiche dalla Corte.

Autenticazione del prodotto

modifica

I prodotti contraffatti sono spesso offerti ai consumatori come fossero autentici. I beni di consumo contraffatti come musica, abbigliamento e farmaci contraffatti vengono venduti come legittimi. Gli sforzi per controllare la catena di approvvigionamento e di educare i consumatori contribuiscono a garantire che i prodotti autentici vengono venduti e utilizzati. Anche la sicurezza stampa su imballaggi, etichette e targhette è soggetto a contraffazione.

Un dispositivo di memorizzazione di chiavi sicure può essere utilizzato per l'autenticazione in elettronica di consumo, l'autenticazione di rete, la gestione delle licenze, gestione della supply chain (catena di fornitura), ecc. Generalmente il dispositivo deve essere autenticato e ha bisogno di un qualche tipo di connessione digitale di una rete wireless o cablata. Tuttavia, il componente che viene autenticato, non deve essere di natura elettronica come un chip di autenticazione che può essere meccanicamente attaccato e letto attraverso un connettore all'host. Questi coprocessori sicuri che possono essere applicati ai prodotti e servizi, possono offrire una soluzione che può essere molto più difficile da contraffare.

Gli standard ISO

modifica
  • Livello di garanzia 1 (Loa1): praticamente nessuna autenticazione. Questo LoA viene utilizzato quando il rischio associato all'autenticazione errata è basso e non richiede l'uso di metodi crittografici.
  • Livello di garanzia 2 (Loa2): sistemi di autenticazione a un fattore. Questo LoA viene utilizzato quando il rischio è associato all'autenticazione errata è moderato.
  • Livello di garanzia 3 (Loa3): sistemi di autenticazione a due fattori, non basati necessariamente su certificati digitali. Questo LoA viene utilizzato quando il rischio è associato all'autenticazione errata è sostanziale.
  • Livello di garanzia 4 (Loa4): sistemi di autenticazione a due fattori, basati su certificati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all'Allegato 3 della Direttiva 1999/93/CE e in cui sia verificata l'identita fisica della persona (nel caso di umani). Questo LoA viene utilizzato quando il rischio è associato all'autenticazione errata è alto.[1]

Criticità

modifica

Attacchi informatici

modifica

Sono coloro che effettuano attacchi informatici per ottenere informazioni (come credenziali) o altro a scopo di lucro a carico delle vittime. Gli attacchi informatici sono tutte quelle azioni che ledono la confidenzialità, la disponibilità e l'integrità del computer o dei dati che esso contiene.

Truffe informatiche

modifica

Sono coloro che cercano di ottenere le credenziali degli utenti sui social media attraverso delle tecniche di inganno. Le tecniche più utilizzate sono:

Spesso nei social si vedono "pubblicità" come: “Guarda com'e divertente questa applicazione gratuita”. Questo viene solitamente utilizzato per effettuare questo tipo di attacco. Magari esiste anche l'applicazione, ma poi ti chiede di inserire nome utente e password per poter continuare o far vedere a tutti gli amici "del social" il punteggio. In questo caso vengono prelevate le informazioni immesse nei form e poi utilizzate per accedere sui social con le credenziali rubate.

Phishing

modifica
  Lo stesso argomento in dettaglio: Phishing.

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso. Il processo standard di attacco di phishing è dato dalle seguenti fasi:

  1. l'utente malintenzionato (phisher) spedisce a un utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo fornitore web, un sito di aste online a cui è iscritto).
  2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi riguardanti il conto corrente o l'account (ad esempio un addebito enorme, la scadenza dell'account, ecc.) oppure un'offerta di denaro.
  3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione (Fake login).
  4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia malevola apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
  5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

Esempio: “Il tuo account e stato sospeso per motivi di sicurezza, premi qui per riattivarlo”.

Il miglior modo per difendersi da questi attacchi, è la consapevolezza. Bisogna fare attenzione che siti visitati siano autentici (guardare il lucchetto verde prima dell'URL).

In caso di email con richiesta di dati personali, numeri di conto, password o carta di credito, è buona norma, prima di cancellare, inoltrarne una copia alle autorità competenti e avvisare la banca o gli altri interessati, in modo che possano prendere ulteriori disposizioni contro il sito falso e informare i propri utenti.

Limiti tecnologici

modifica

Non esistono computer, software o utenti in grado di confermare, con totale certezza, l'identità di altri computer, software e utenti.

Dunque, essendo irraggiungibile una soluzione totalmente sicura, si può soltanto cercare di sottoporre l'autenticando a diverse prove, ad esempio delle domande alle quali bisogna rispondere correttamente. Sicuramente è estremamente importante che l'identità virtuale sia associata univocamente a quella "fisica" e sia quindi possibile verificare che la persona che fruisce del servizio sia veramente chi afferma di essere, per i servizi più critici, come quelli che prevedono transazioni finanziarie o comunicazione di dati personali.

  1. ^ Identificazione e autenticazione elettroniche
  2. ^ (EN) Authentication Definition, su linfo.org, 29-1-2006. URL consultato il 14-5-2012.
  3. ^ AUTENTICAZIONE, su di.unisa.it. URL consultato il 26 giugno 2016 (archiviato dall'url originale il 26 dicembre 2016).
  4. ^ a b c (EN) Tutto ciò che bisogna conoscere sull’autenticazione a due fattori, su Sophos Italia, 19 febbraio 2014. URL consultato il 19 giugno 2016.
  5. ^ (EN) Fred B. Schneider, Something You Know, Have, or Are, su cs.cornell.edu. URL consultato il 14-5-2012.
  6. ^ Chiave hardware di autenticazione USB! ACCESSI SICURI! drupal wordpress joomla, su eBay. URL consultato il 25 giugno 2016.
  7. ^ Deutsche Welle (www.dw.com), German Defense Minister von der Leyen's fingerprint copied by Chaos Computer Club | News | DW.COM | 28.12.2014, su DW.COM. URL consultato il 19 giugno 2016.
  8. ^ Cosa cambia con eIDAS per le Registration Authority
  9. ^ Il richiedente (o titolare) è il soggetto, persona fisica o giuridica, che richiede il certificato digitale relativo alla chiave pubblica.
  10. ^ Network Access Control | Digital Network s.r.l., su digital-network.it. URL consultato il 21 giugno 2016 (archiviato dall'url originale il 27 settembre 2016).

Voci correlate

modifica

Altri progetti

modifica

Collegamenti esterni

modifica
Controllo di autoritàLCCN (ENsh85009783 · BNF (FRcb11976657c (data) · J9U (ENHE987007295743005171 · NDL (ENJA01209225