Cosa sono e a cosa servono gli strumenti di autenticazione informatica? Perché sono così importanti? Quali sono le forme di autenticazione informatica più sicure? In questo articolo cercheremo di dare risposta a tutte queste domande.
Con il termine autenticazione informatica si intende quel particolare processo che consente di verificare l’identità di un utente che richiede l’accesso a un sistema informatico oppure a una piattaforma software. Diversamente dalla identificazione, che ha come obiettivo quello di identificare un soggetto (e.g. identificazione tramite carta d’identità della persona fisica nel momento dell’apertura del conto corrente bancario), l’autenticazione consente di verificare la corretta identità del soggetto che accede al sistema informatico (e.g. autenticazione nel momento in cui si accede al portale della banca tramite username e password).
Le diverse modalità di autenticazione informatica le possiamo raggruppare in almeno quattro tipologie: what you know, what you have, what you are, where you are.
- What you know
In questa categoria rientrano le modalità di autenticazione dove l’informazione per autenticarsi è conosciuta solo dall’utente. E’ la modalità più diffusa e comprende l’uso della password, del codice di sicurezza, del PIN, della passphrase, etc. Con riguardo alla password, è importante che sia sicura, per evitare attacchi a forza bruta (che consiste nel provare tutte le possibili soluzioni tramite particolari algoritmi) oppure a dizionario (basati su fili contenenti migliaia di password denominati appunto dizionari), e quindi: lunghezza di almeno 8 caratteri, non usare parole contenute nei dizionari di qualsiasi lingua nemmeno se scritte al contrario, non usare informazioni personali, di famigliari, di parenti, di amici, date, luoghi, nomi di animali, luoghi di vacanza, sport preferiti, numeri di telefono, numeri di passaporto, numeri di carta di identità, numeri di targa dell’auto, etc, costruire la password includendo solo lettere (maiuscole e minuscole), numeri, e caratteri speciali, e cambiarla almeno ogni 90 giorni.
Vi sono poi anche la password grafiche, perché è comprovato che la memoria dell’essere umano ricorda meglio le immagini anziché le parole e i numeri, ed in questo caso l’utente dovrà selezionare un certo numero di immagini nell’ambito di un set di immagini create random.
- What you have
In questa categoria rientrano le modalità di autenticazione dove l’informazione per autenticarsi è contenuta in un oggetto posseduto dall’utente, quale una smart card, un security token, uno smartphone, etc. Una forma molto diffusa è la creazione di un OTP (One-Time Password) random riconosciuto dal sistema, solitamente valido dai 30 ai 60 secondi, trasmesso tramite SMS allo smartphone oppure creato tramite security token, quale per esempio RSA SecurID molto usata nel mondo bancario.
- What you are
In questa categoria rientrano le modalità di autenticazione dove l’informazione per autenticarsi è una caratteristica fisica o comportamentale dell’utente. Siamo nell’ambito dell’autenticazione biometrica, che prevede la creazione di modelli o template di riconoscimento partendo da dati biometrici della persona, e che presenta importanti vantaggi: il rischio di furto dell’identità è relativamente basso, non vi è l’esigenza di ricordarsi la password, i dati biometrici non possono essere condivisi.
L’autenticazione biometrica si divide in due grandi categorie: autenticazione basata su attributi fisici e autenticazione basata su attributi comportamentali.
1. Autenticazione basata su attributi fisici
In questa categoria rientra il riconoscimento facciale, l’impronta, la scansione della retina, la scansione dell’iride, la geometria della mano, dato che sono tutte caratteristiche fisiche della persona che sono uniche e rimangono immutabili nel corso della vita.
Il riconoscimento tramite l’impronta avviene a seguito della scansione dell’ultima falange delle dita delle mani, memorizzando i dermatoglifi, cioè le creste, i solchi, le biforcazioni, le terminazioni, gli archi, etc, rilevando che tale sistema di autenticazione potrebbe presentare la criticità che le suddette caratteristiche potrebbero essere sostituite con un intervento di trapianto chirurgico.
Il riconoscimento facciale è incentrato invece sulle caratteristiche del viso, e misura la distanza tra gli occhi, la larghezza del naso, la distanza tra gli zigomi, il labbro (posizione, forma e orientamento), le sopracciglia, ed anche tale modalità presenta la criticità che le suddette caratteristiche possono essere modificate con interventi di plastica facciale.
La scansione della retina consiste nel verificare la distribuzione dei vasi sanguigni presenti nella retina, e vi sono delle criticità quando compaiono malattie agli occhi, ma dato che è una tecnica molto affidabile viene usata da diverse agenzie governative, quali la CIA e la NASA.
La scansione dell’iride, membrana situata nella parte posteriore dell’occhio, prevede l’acquisizione del colore e dell’immagine di dettaglio della struttura e della tessitura, è poco invasiva, veloce e molto affidabile, e per questo utilizzata in molti aeroporti.
Il riconoscimento tramite la geometria della mano, ne verifica la struttura e la forma, oltre che misurarne le giunture e le dita, ma è una procedura poco diffusa.
2. Autenticazione basata su attributi comportamentali
In questa categoria rientra la firma grafometrica, il riconoscimento vocale, il modo in cui una persona cammina, il modo in cui una persona scrive con una tastiera del computer.
La firma grafometrica tramite l’ausilio di appositi tablet o tavolette, è certamente la forma più diffusa di autenticazione informatica, in grado di verificare la velocità, l’accelerazione, la decelerazione, e la pressione della sottoscrizione.
I sistemi di riconoscimento vocale verificano il modo in cui una persona parla, quali il timbro, il tono, la velocità, etc, e mentre alcuni sistemi impiegano lo stesso testo sia in fase di registrazione che di autenticazione (text-dependent model), altri sono in grado di verificare la persona senza essere legati a prestabili testi (text-independent model).
Il riconoscimento tramite il modo in cui una persona scrive con una tastiera del computer, verifica alcune caratteristiche distintive, quali il tempo intercorrente nel premere i tasti della tastiera, la pressione fatta quando si preme un tasto, dopo quanto tempo viene rilasciato il taso, etc ed è utilizzata nell’ambito dell’autenticazione continua in diverse organizzazioni pubbliche e private.
L’autenticazione tramite il modo di camminare, misura invece la traiettoria delle giunture e gli angoli delle gambe durante il movimento.
- Where you are
In questo caso l’autenticazione si svolge verificando la localizzazione dell’utente, che può svolgersi tramite GPS, IP address, etc.
Al fine di rendere più sicura l’autenticazione informatica, oltre a quella a un fattore, come per esempio la password, si stanno sempre più diffondendo le autenticazioni a due fattori, e quindi oltre alla password il sistema prevede l’utilizzo di un OTP random ricevuto tramite SMS sullo smartphone oppure creato da un security token (e.g. RSA SecurID).
L’autenticazione informatica è un aspetto estremamente delicato, perché creare password poco sicure oppure gestirle in modo non adeguato, consente agli hacker di sostituirci nell’identità e svuotare conti bancari, perpetrare frodi, truffe, raggiri e qualsiasi altra forma di reato.
Umberto Zanini, Dottore Commercialista e Revisore Legale
Fonte: Sistemiamo l’Italia