Nel corso degli ultimi anni, tutti i dirigenti d’azienda hanno dovuto sicuramente ridefinire il concetto di sicurezza dei sistemi informatici. Se fino allo scorso decennio la maggior parte di loro non sentiva la necessità di focalizzarsi su questioni legate della sicurezza dei sistemi, oggi la situazione è radicalmente cambiata. La sicurezza è tutto, su questo non si discute. La sicurezza delle applicazioni, e dunque dei sistemi su cui esse si basano, è una parte fondamentale del business all’insegna del Web 2.0.
Al giorno d’oggi, creare un servizio online per la propria clientela – sia esso una piattaforma di accesso alla propria casella email o un sistema per visualizzare gli ultimi movimenti bancari – che non rispetti ed assicuri determinati canoni di sicurezza rappresenta sicuramente un progetto da cestinare. Qualcosa che i responsabili di ogni azienda non vorrebbero mai che arrivasse sulle loro scrivanie. Non è un caso quindi che esperti ed amministratori di sicurezza siano le figure più ricercate sul mercato. Qualcuno a questo punto potrebbe chiedersi a cosa sia dovuto questo eccessivo zelo sulla sicurezza.
La domanda è sensata ed ha una facile risposta, quasi retorica. La questione è questa: visto l’aumento esponenziale dell’utilizzo di Internet e vista la grande mole di dati personali che viaggiano sul cavo di rete – numeri di carte di credito, email e segreti aziendali – il Web è diventato l’obiettivo numero uno della maggior parte dei criminali del nuovo millennio. Ma non solo, il Web è anche il campo di battaglia preferito di utenti truffaldini dediti alle frodi telematiche. Altro punto da non sottovalutare è la presenza su Internet di documentazione fruibile a tutti.
Per farla breve, oggi, grazie ai tanti siti di sicurezza sparsi sul web che spiegano passo dopo passo come sfruttare una determinata falla di sicurezza all’interno di un sistema, anche diventare un criminale informatico è diventato un gioco da ragazzi. Ed ecco quindi spiegato il perché di questo incessante bisogno di sicurezza. Le aziende spendono fior fior di quattrini nell’adozione di nuovi sistemi di sicurezza, specialmente nei sistemi di autenticazione robusti.
In questo articolo faremo una panoramica dei meccanismi di autenticazione che caratterizzano il mercato. Non entreremo nello specifico di ognuno di essi ma cercheremo di fornire le indicazioni necessarie per una possibile scelta di quello migliore.
Il bisogno di autenticazioni sicure
Internet è il futuro del business e molte aziende stanno già migrando in massa tutti i loro servizi sul Web. Con una certa sicurezza possiamo affermare che ad oggi non esiste ormai più nessuna grande azienda che non offra alla propria clientela delle applicazioni basate sul web. Paradossalmente, anche le applicazioni off-line fanno sempre più affidamento sul Web.
Molte volte, infatti, è richiesta la connessione ad Internet per inviare delle informazioni – anche personali – all’azienda produttrice di un determinato software. Vuoi il costante utilizzo di applicazioni web-based, vuoi l’eccessiva semplicità del protocollo HTTP, oggi è davvero diventato un gioco da ragazzi rubare identità e dati personali. Fenomeni che gli esperti chiamano phishing e spoofing.
Siamo dunque arrivati al punto che le tecniche utilizzate dai malintenzionati per attaccare un sistema di autenticazione sono diventate così sofisticate che una normale accoppiata userid/password non è più sufficiente per garantire la sicurezza di tutta l’infrastruttura aziendale. E visto che l’autenticazione è il processo più delicato di tanti altri, non rimane che spendere tutte le proprie risorse nel creare un sistema di autenticazione robusto e sicuro. Lontano non da tutti, ma almeno dagli attacchi più comuni.
Come avviene l’autenticazione
L’autenticazione è sicuramente una delle parti caratterizzanti di un’applicazione web o di un qualsiasi sistema informatico. Con il termine autenticazione di solito si descrive il processo di verifica dell’identità di una persona o di una entità. È praticamente la procedura con cui si accerta se una persona è chi dice di essere e dunque può accedere ad un servizio o ad un sistema.
Quando si accede alla propria casella di posta elettronica o al proprio conto bancario, la prima cosa da fare è autenticarsi, di solito attraverso una username ed una password.
Il processo di autenticazione può essere descritto in tre fasi. AAA è il termine che identifica il tutto. Si tratta dell’acronimo di Authentication, Authorization e Accounting. Ecco le differenze:
- Authentication: è la procedura con cui un utente deve confermare chi dice di essere
- Authorization: è la procedura con cui vengono decise quali operazioni un utente è autorizzato a compiere su un determinato sistema o all’interno di una applicazione
- Accounting: procedura di monitoraggio delle risorse utilizzate dall’utente durante il suo accesso.
Esiste anche un’altra fase, allo stesso modo molto importante delle tre appena elencate. È quella dell’identificazione. L’identificazione avviene attraverso una vera e propria presentazione delle credenziali da parte dell’utente verso il sistema. Quest’ultima fase è quella che precede il processo di autenticazione, dunque è la prima fase dell’intera procedura. È da precisare che queste quattro operazioni rappresentano una vera e propria catena. Basta saltare una di queste procedure e l’utente vede negarsi l’accesso ad un sistema. Le fasi di authorization e accounting sono possibili solo se l’utente è stato correttamente identificato ed autenticato.