Proseguiamo la recensione delle soluzioni di autenticazione forte presentate all’ultimo convegno sulla sicurezza ICT svolto a Roma il 2 Febbraio. Nel primo articolo sono state approfondite le soluzioni di RSA e di ActiveIdentity, come contrapposizione fra un approccio rispettivamente innovativo ed uno classico basato su Token; anche in questa occasione confronteremo un approccio di autenticazione multi fattore di tipo “classico”, rispetto ad una soluzione innovativa e biometrica.
Proposta Classica
La società CryptoCArd è specializzata in prodotti per l’accesso sicuro alle reti e applicazioni aziendali e il suo “core” business riguarda i sistemi di autenticazione e validazione degli accessi. Si propone sul mercato con tre possibili soluzioni secondo le esigenze dell’azienda:
BlackShield ID: è una applicazione di autenticazione forte basata su web service e sull’utilizzo di token (fisici, richiesti via sms e/o mail, o di tipo software). L’autenticazione forte è implementata con due fattori di riconoscimento combinati: password e PIN. I token che generano la password possono essere di tipo classico, ovvero strumenti hardware che generano codici numerici casuali, oppure le password sono inviate via sms sui supporti mobili più diffusi, le cosiddette OTP-One Time Password; infine esistono i grid Token basati su una figura geometrica tracciata su una griglia; i numeri associati alla figura geometrica cambiano casualmente e all’utente è richiesto di ricordare “solo”la forma geometrica sulla griglia. Il prodotto si configura come una soluzione da installare “in-house” e a tal fine è stato reso facilmente integrabile con l’hardware e il software aziendale preesistente.
CRYPTO-MAS:
è basato sull ‘ approccio "cloud" e quindi non richiede installazione localmente all’azienda. Il servizio di autenticazione è fruibile on-line e permette ovviamente di abbattere i costi, data la licenza di fruizione Sas (Software as
a service). L’autenticazione forte è garantita anche in questo caso dalla combinazione di multipli fattori di validazione. Fattore chiave delle validazioni sono le password a validità singola, generate da opportuni token che possono essere fisici, richiesti via sms e/o mail, o di tipo software come nel caso precedente. Il canone è mensile e dimensionato in funzione del numero di utenti.
AuthEngine SDK : è rivolto agli sviluppatori perché permette di aggiungere sistemi di autenticazione forte basati su token, alle preesistenti applicazioni web aziendali eliminando l’esigenza di controllare licenze e applicazioni stand-alone proprie degli authentication server. Infatti, il controllo sull’autenticazione a mezzo token fisici viene implementato chiamando e inizializzando appropriate librerie di autenticazione specificamente costituite per questo scopo.
Approccio biometrico
La società Authenware, ha presentato la propria offerta per l’implementazione della sicurezza forte negli accessi alle applicazioni ed ai sistemi aziendali, basato su un sistema di controllo dell’identità dell’utente che sia alternativo o aggiuntivo rispetto all’associazione di username e password tipiche dell’autenticazione utente.
La soluzione, completamente trasparente all’utente finale, è basata sull’uso di un profilo o meglio un pattern di riconoscimento associato ad ogni utente del sistema aziendale. La tecnologia di Authenware crea una “firma” ovvero un “modello di sicurezza personalizzato” acquisendo e memorizzando le personali modalità di digitazione della tastiera da parte del singolo utente, considerando ad esempio la velocità, gli errori più comuni, e le cosiddette “singolarità” di digitazione proprie di ogni persona (es. il modo di digitare le lettere accentate).
Infine il sistema si avvale di euristiche per completare il profilo quali l’indirizzo IP dell’utente, la risoluzione dello schermo, l’uso del mouse, la versione del browser e/o del sistema operativo, i tempi di collegamento o gli orari di accesso tipici, e altri fattori che contribuiscono a rendere l’individuo unicamente riconoscibile. In questo modo l’autenticazione e validazione avviene in modalità forte ovvero attraverso la combinazione di login e password abbinata alla specifica “firma” di riconoscimento. È evidente che accessi non riconosciuti sono annullati e le login di riferimento rese inattive.
Il sistema di autenticazione forte è implementato nei tre prodotti offerti da Authenware: AuthenWare Technology Intranet™, AuthenWare Technology Portals e AuthenWare Technology OEM (specifico per piattaforme e software venduti con licenza Saas).
Il vantaggio di questa tecnologia è che si aumenta la sicurezza senza aumentare la complessità verso gli utenti finali: infatti all’utente non è richiesto lo sforzo mnemonico di ricordare codici alfanumerici particolari, non servono token specifici che l’utente deve tenere con se, e soprattutto questa tecnologia non costringe l’utente finale a scrivere su supporti di fortuna alcuna parola di riconoscimento, il che normalmente mina la sicurezza dei sistemi di accesso proprio per l’insana abitudine di “registrare” codici nei posti più impensati che normalmente sono però noti agli hacker (telefoni cellulari, rubriche telefoniche, post it accanto al pc!).
Un altro evidente vantaggio è la riduzione dei costi operativi: non si devono acquistare token e i costi relativi alla fase di acquisizione dei dati e di implementazione sono inferiori rispetto agli altri metodi di validazione perché in questo caso si sfruttano policies e procedure preesistenti in azienda e l’integrazione con i sistemi aziendali e meno “traumatica” a livello operativo.