Le regole dell'autenticazione perfetta: so, ho, sono
Riprendo l'articolo scritto qualche settimana fa da Marco Govoni riguardante la doppia autenticazione per l'accesso ai siti più critici: La regola dei “6 minuti”: proteggi la tua identità online
In questo post si parla della verifica a due fattori, che è un sistema che permette una maggiore sicurezza nella protezione dei propri account virtuali.
La certificazione che qualcuno è chi sostiene di essere, può avvenire seguendo le tre semplici regole:
- qualcosa che io SO
- qualcosa che io HO
- qualcosa che io SONO
Qualcosa che io SO
Identificare una persona sulla base delle proprie conoscenze è alquanto semplice, è il sistema più frequentemente utilizzato dagli albori dell'informatica ma possiamo dire anche da ben prima, da quando esiste la comunicazione tra esseri umani.
La parola d'ordine (password in lingua anglofona) ne è l'esempio più lampante e chiaro. Usata per entrare nelle fortezze o per identificare la spia oltrecortina, la password è da sempre utilizzata come sistema di autenticazione dell'individuo.
Ha un piccolo difetto: è facilmente divulgabile, sia involontariamente mettendo un bigliettino attaccato al monitor, sia volontariamente ma anche in maniera coercizzata, attraverso immonde torture o semplici trucchi di ingegneria sociale.
Qualcosa che io HO
Possedere un oggetto che in maniera univoca identifichi la persona è l'evoluzione della semplice password.
Una volta poteva essere magari un timbro in ceralacca, ora si pensa ai vari badge più o meno evoluti, ai token che qualche tempo fa sono entrati nei circuiti bancari per aumentare l'affidabilità delle transazioni, le smart card fino ai piu' recenti telefoni mobili che tramite SMS certificano che chi possiede l'oggetto è chi dice di essere.
Impossibili da divulgare, difficilmente duplicabili (ma il mondo dell'hacking ci ha dimostrato che non è impossibile), hanno il difetto che l'autenticazione dipende dal buon funzionamento degli apparati da utilizzare.
Un cellulare o un token scarico, un badge smagnetizzato possono creare dei problemi anche al legittimo titolare.
Qualcosa che io SONO
Anche se dal punto di vista informatico è una nuova frontiera (che sta entrando sempre più nel domestico), l'autenticazione tramite sistemi di riconoscimento dei tratti fisici della persona è qualcosa che è sempre esistita, basta aprire il portafoglio e tirar fuori la vecchia e ultra decennale carta di identità o patente che sia. Nel caso di un siffatto documento entra in gioco anche un ente certificatore per confermare che la foto della patente appartiene al titolare della patente stessa.
L'autenticazione telematica è in continuo sviluppo e comprende tutta una serie di tecniche tra cui il riconoscimento delle impronte digitali, delle impronte vocali, la calligrafia, lo scan della retina e tutto ciò che la fantasia scientifica ci porterà nel prossimo futuro.
Il punto debole di questo metodo di autenticazione è la relativa giovinezza tecnologica (e la conseguente bassa affidabilità di riconoscimento associata a costi ancora molto elevati) e ad una serie di problematiche associate e intrinseche, come ad esempio la gestione dei dati sensibili dell'individuo.
Conclusione
Posto che i metodi di autenticazione ruotano su questi tre sistemi di riconoscimento, e che nessuno di questi è in grado di garantire al 100% il corretto funzionamento (un furto di password, badge o di dita è sempre possibile) l'orientamento attuale è quello di utilizzare contemporaneamente più sistemi di autenticazione.
Da qui nasce la Strong Authentication, detta anche verifica a due fattori, possibilmente di due nature diverse, una password memorizzata e un badge, oppure un token e una password, un riconoscimento facciale e un SMS.
Quindi, fintanto che non verrà ideato qualche altro sistema, quello più sicuro attualmente è quello suggerito da Marco nel post che mi ha stimolato a scrivere qui, ora.
Link utili:
http://www.cs.cornell.edu/courses/cs513/2005fa/nnlauthpeople.html
Claudio, grazie mille per la condivisione. Davvero molto interessante.