Vai al contenuto
Vai al menu di navigazione
Vai all'indice del modulo

L’IMPORTANZA DELL’IDENTITÀ IN INTERNET

L’Autenticazione come elemento base per la Sicurezza

L’autenticazione è un servizio di sicurezza che si realizza attraverso una serie di meccanismi di verifica dell’identità ed è strettamente legato alle procedure di “Controllo degli Accessi” per i servizi di Internet.

Per esempio, un utente che intende accedere tramite Internet alla proprio casella di posta elettronica o al servizio di prenotazione di ticket online, o ancora, che intende consultare i propri dati di conto corrente bancario online, ha la necessità di autenticarsi al servizio utilizzando diversi meccanismi che si differenziano tra loro per il grado di robustezza.

Nella fruizione di un servizio che prevede l’invio di dati riservati spesso si crede che l’aspetto più importante sia la protezione dei dati in transito, ovvero la protezione della confidenzialità delle informazioni trasmesse.

Questo aspetto, che certamente è basilare per l’utilizzo dei servizi più delicati, da solo non basta: è necessario essere sicuri che le parti coinvolte siano veramente chi dicono di essere.

Si pensi ad esempio ad un servizio di banking online.

Se il meccanismo d’autenticazione delle utenze non fosse adeguato, chiunque potrebbe effettuare, confidenzialmente, operazioni per conto di altre persone; oppure se l’utente non potesse verificare l’identità del servizio rischierebbe, ancora con tutta la confidenzialità richiesta da una transazione bancaria, di comunicare i sui dati personali a criminali informatici.

L’autenticazione, in una comunicazione virtuale tra due interlocutori, può essere effettuata verificando che la controparte possieda almeno uno dei seguenti requisiti, che chiameremo “di base”, ordinati in base al loro grado di “robustezza”:

  1. conoscenza esclusiva (escludendo, eventualmente, l’entità che effettua la verifica) di una certa informazione;
  2. possesso esclusivo di un oggetto, non necessariamente “fisico”;
  3. possesso di una o più caratteristiche fisiche, misurabili con appositi sensori, che lo differenzino da tutti gli altri soggetti.

Nella terminologia tecnica comunemente utilizzata dagli addetti ai lavori, è possibile distinguere due tipologie d’autenticazione, definite da un uso differente dei requisiti sopra riportati che corrispondono a gradi di robustezza distinti:

  • autenticazione debole;
  • autenticazione forte.

L’autenticazione debole prevede l’utilizzo di un singolo requisito tra quelli esposti. Solitamente è il primo di essi: l’utilizzo di un identificativo utente e di una password che solo l’utente può conoscere in quanto scelta da egli stesso.

La verifica dell’identità di un servizio, invece, è spesso realizzata automaticamente dai mezzi utilizzati per la fruizione del servizio stesso, ad esempio, mediante la verifica dei certificati digitali rilasciati da parti fidate .

L’autenticazione forte è realizzata combinando almeno due dei requisiti di base. Un classico esempio di autenticazione forte lo si può trovare nella fruizione di servizi di online banking, dove non è insolito che, in prima istanza, sia richiesto l’inserimento di un identificativo utente e di una password e, all’atto della conferma di una transazione quale un bonifico, sia richiesto l’inserimento di un codice numerico “usa e getta” ottenibile da un token crittografico o da un’apposita tabella fornita dall’ente bancario.