Tratto dallo speciale:

Autenticazione forte per la sicurezza degli accessi

di Alessia Valentini

Pubblicato 3 Marzo 2011
Aggiornato 13 Novembre 2013 11:18

logo PMI+ logo PMI+
Come funzionano i sistemi di autenticazione forte: le soluzioni RSA per migliorare l'accesso e il login alla propria rete

Con l’accrescere del numero e del tipo di minacce alla sicurezza delle
informazioni aziendali primo fra tutti lo spionaggio industriale, le PMI devono attuare metodi diversi per garantire l’accesso alle risorse aziendali da parte della propria forza lavoro che ha la possibilità di collegarsi sia attraverso dispositivi aziendali sia mediante i nuovi supporti di tipo mobile.

La protezione di tipo debole basata solo su login e password potrebbe rivelarsi non sufficiente contro quei criminali informatici che, esperti e organizzati, sanno recuperare questo tipo di dati facilmente o con tecniche specifiche. Diventa quindi necessario dotarsi di sistemi di autenticazione forte come requisito imprescindibile del sistema di sicurezza.

L’autenticazione forte

Quando si parla di autenticazione forte si fa riferimento a quei sistemi di convalida dell’utente basati su più di un metodo di riscontro. In particolare l’utilizzo di username e password non sono più sufficienti a garantire l’accesso ad un sistema ma sarà necessario provare la propria identità con altri soluzioni. I metodi di autenticazione sono solitamente basati su tre direttrici:

  1. cose conosciute dall’utente quali ad esempio login e password o dati di riconoscimento di persone conosciute o che costituiscono situazioni particolari (date, luoghi ecc).
  2. cose possedute dall’utente in questo caso si utilizzano oggetti quali il telefono, la carta di credito o specifici token multi numero o basati su sistemi geometrici.
  3. cose che costituiscono l’utente stesso ovvero caratteristiche fisiche proprie dell’utente che vengono riconosciute da sistemi cosiddetti biometrici: impronte digitali, retina, suono della voce per citare i più noti.

I sistemi di autenticazione forte sono decisamente consigliati nei casi di:

  1. Impiegati che accedono da remoto connettendosi a mezzo Gateway, VPN SSL,
  2. Partner che accedono al web portal aziendale per business,
  3. Fornitori che devono connettersi ad un sistema on line di order management o ad altre applicazioni operative.

Soluzioni di mercato

RSA, la divisione Security di Magirus, ha presentato l’RSA Authentication Manager Express AMX, un sistema di autenticazione forte basata su più fattori pensato per diminuire il disagio agli utenti finali, ottimizzato per le
esigenze delle PMI, e che soprattutto non richiede ingenti sacrifici di budget e di risorse IT. Il sistema tokenless è basato sull’RSA Risk engine, un motore statistico affidabile perché testato e attualmente in uso presso 250 milioni di utenti nel mondo che  vanta una caratteristica peculiare: una funzionalità di tipo self learning che gli consente di adattarsi alle abitudini di collegamento degli utenti, nel corso del tempo.

Il
principio di convalida risk-based si basa sulla valutazione della percentuale di rischio associata all’autenticazione utente, ovvero che chi sta accedendo sia veramente chi dice di essere. Se la percentuale di rischio resta al di sotto di una soglia fissata i mezzi di riconoscimento dell’utente saranno limitati a quelli convenzionali, se invece la percentuale va al di sopra della soglia di rischio accettabile, il sistema richiede all’utente una serie di ulteriori prove di autenticazione basate su fattori diversi: autenticazione on demand a mezzo cellulare (SMS) o via mail, domande di controllo, o attraverso azioni che l’utente deve compiere.

L’aumento della percentuale di rischio può dipendere da vari fattori che turbano il profilo di riconoscimento assegnato perogni utente che viene determinato all’inizio dell’avvio del sistema da una fase di silent collection. Per un periodo di tempo definito il sistema apprende passivamente e in modo invisibile il comportamento degli utenti, ne registra i device preferiti, il modello di comportamento così da “identificare” univocamente ogni user. Solo al termine del periodo di apprendimento silenzioso gli utenti vengono avvisati della disponibilità di un nuovo metodo di autenticazione.

In questo modo risulta semplificata la fase di migrazione e in generale il processo di provisioning degli utenti.

Il sistema è anche dotato della funzionalità OTP (ne-time password) via sms o mail ovvero si avvale della possibilità di autenticare l’utente a mezzo di una password singola inviata via mail o sms che l’utente deve digitare entro un certo tempo sul sistema per garantirsi l’accesso.

Il sistema ha una vasta scalabilità pari a 2500 utenti, é basato su appliance a sistema operativo Linux notoriamente più sicuro di Microsoft perchè meno soggetto ad attacchi e fornisce un servizio di replica (Fault Tolerance) mediante una seconda appliance. Il licensig è di due tipi: basato sul numero di utenti o perpetuo. La configurazione del prodotto è flessibile e si adatta alle dimensioni ed esigenze aziendali per adeguarsi alle PMI ma anche alle Enterprise Company. Il sito dedicato al prodotto è completo di un resource center che ospita white paper, video e podcast di demo, dettagliate informazioni di prodotto e un blog dove confrontarsi con altri utilizzatori.

Un altro partner di Magirus, Activeidentity, fornisce soluzioni per il controllo degli accessi basato su
soluzioni di autenticazione forte mediati però dall’utilizzo di supporti
fisici. Il loro prodotto dedicato alla connessione remota per le imprese sia chiama
4TRESS™ AAA Server e supporta una vasta e flessibile gamma di strumenti
hardware (smart card o token) basati sullo standard OATH di riconoscimento a due fattori, e implementa le opzione OTP via SMS e Mail.

Anche in questo caso il prodotto è altamente scalabile su un vasto numero di utenti adattandosi così sia alle PMI  sia alle Enterprise company. I sistemi operativi, l’hardware e le applicazioni supportati sono specificate nel white paper del prodotto.

Non sono esplicitate nei documenti in rete le politiche di pricing ma presso l’indirizzo mail info@actividentity.com si possono richiedere
informazioni e condizioni di assistenza post vendita.